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INTRODUCTION 

Soit F un corps fini et soit /i , . . . , /,„ des polynômes à coefficients dans F en n 
indéterminées xi,. . . ,Xn- Le but de cet exposé est de décrire des algorithmes permet- 
tant de calculer efficacement le nombre de solutions dans F" du système d'équations 
/i = • • • = /™ = 0. 

Pour tout entier fc ^ 1, notons Nk le nombre de solutions de ce système dont les 
coordonnées appartiennent au corps F^'^\ unique extension de F de degré k contenue 
dans une clôture algébrique fixée de F ; si X est le sous-schéma de l'espace affine 
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défini par l'annulation des fi, on a donc Nk — \X{¥'^^^)\. La fonction zêta Z{X,t) du 
schéma X est alors donnée par la formule 



et, ainsi que l'a démontré DwORK [32] j c'est une fraction rationnelle. Par conséquent, 
la suite {Nk) est déterminée par un nombre fini de ses termes. Nous verrons aussi que 
ces algorithmes permettent de calculer la fonction zêta Z{X,t). 

Tous les algorithmes décrits ci-dessous reposent sur un premier principe : il suf- 
fit, pour calculer |X(F)|, de calculer une congruence |^(r)| = c (mod A^), oii N 
est un entier strictement supérieur à |X(F)|, par exemple N > |F|". Plus généra- 
lement, il suffit que l'on connaisse un encadrement de |X(F)| de largeur inférieure 
à N ; c'est là qu'interviendra l'analogue de l'hypothèse de Riemann sur les corps finis. 



que Deligne [34] a démontrée, généralisant ainsi des résultats de Hasse (courbes el- 

liptiques) et Weil (courbes, variétés abéliennes,...). Fixons-nous un tel encadrement 



Là où ces algorithmes diffèrent, c'est sur la façon de choisir un tel entier N puis de 
calculer c. 

Les premiers algorithmes, que nous qualifierons de £-adiques, font l'objet du cha- 
pitre [2] de ce rapport. Ils ont pour archétype l'algorithme découvert en 1985 par 
R. SCHOOF |105j pour calculer le nombre de points d'une courbe elliptique sur un corps 
fini. Ces algorithmes choisissent un ensemble fini {^i, . . . ,1^} de « petits » nombres 
premiers dont le produit L — ii . . . £g vérifie L > R et calculent, pour tout i un élé- 
ment Ci S {0, . . . ,£i — 1} tel que |X(F)| = Ci (mod £i). Le théorème chinois permet 
d'en déduire un entier c G {0, . . . , L — 1} tel que |X(F)| = c (mod L). L'origine de la 
terminologie « i?-adique » vient de ce qu'on peut interpréter la congruence modulo £i 
par le calcul de la cohomologie étale modulo £i. 

Hors du degré 1 ou de ce qui en provient, la cohomologie étale semble peu accessible 
au calcul formel; même dans ce cas, son calcul effectif amène rapidement à la consi- 
dération de polynômes de très grand degré. Le champ d'application des algorithmes 
£-adiques est ainsi limité aux courbes de petit genre, aux variétés abéliennes de petite 
dimension. 

Néanmoins, ces algorithmes sont polynomiaux en le logarithme du cardinal de F : 
aussi bien le temps de calcul que l'espace requis par le calcul sont majorés par une 
puissance de log|F|. 

Nous présenterons au chapitre [3] les algorithmes p-adiques, où l'entier p désigne la 
caractéristique du corps F. Ils procèdent en effet en choisissant pour N une puissance 
de p et en calculant (plus ou moins) la cohomologie p-adique de X modulo N. Par co- 
homologie p-adique, j'entends ici la cohomologie de Monsky-Washnitzer et ses avatars 
(rigide, cristalline), qui sont des analogues de la cohomologie de De Rham. Définie 



(0.1) 





C ^ \X{F)\ <C + R. 



ASTÉRISQUE 



(968) COMPTER (RAPIDEMENT). 



3 



comme cohomologie d'un complexe explicite, la cohomologie p-adique se prête natu- 
rellement bien au calcul effectif et l'on peut espérer appliquer ces méthodes dans des 
situations géométriques très générales. Malgré tout, il semble que seules les courbes 
et les surfaces aient fait l'objet d'implémentations poussées. 

Toutefois, parce qu'ils demandent de manipuler des polynômes de degrés au 
moins p, la dépendance en logp de leur complexité n'est pas polynomiale. Ils n'en 
restent pas moins des algorithmes de choix lorsque p est petit, notamment dans les 
applications cryptographiques où l'on a souvent p = 2. 

Au fur et à mesure du développement de ces algorithmes, ils ont été programmés 
et leurs performances éprouvées à l'aune des records qu'ils permirent d'obtenir, c'est- 
à-dire le calcul de |-'f(F)| pour des corps F de cardinal le plus grand possible. Lorsque 
X est une courbe elliptique, on a pu atteindre un cardinal q de plus de 2 000 chiffres 
(en base 10) par l'algorithme de SCHOOF, et d'environ 40 000 chiffres (mais en carac- 
téristique p = 2) par l'algorithme 2-adique de Mestre. Ces calculs ont pris plusieurs 
mois. La diminution de l'espace mémoire nécessité par ces algorithmes a aussi fait 
l'objet de travaux importants. 

Parallèlement, ils ont trouvé un champ d'application dans la cryptographie à clef 
publique et se sont retrouvés au coeur de logiciels commerciaux. Comme nous le ver- 
rons plus bas, les corps F qu'il faut alors manipuler sont de taille bien plus modeste, 
disons une cinquantaine de chiffres décimaux. 

Le premier chapitre de ce texte est consacré à quelques applications de ce problème 

algorithmique et de ses diverses solutions efficaces. J'exposerai ensuite les grandes 
lignes de la plupart des algorithmes £-adiques, puis p-adiques, actuellement utilisés. 
Il s'avère en fait qu'une bonne partie de la théorie générale et abstraite développée 
au XX® siècle dans l'étude des conjectures de Weil donne naturellement lieu à des 
algorithmes efficaces. Cependant, cette constatation n'est pas allée de soi et le crédit 
en revient bien aux mathématiciens tels que Schoof, Elkies, Atkin (pour la partie £- 
adique), Satoh, Mestre, Kedlaya, Lauder (pour la partie p-adique) dont les noms 
émailleront ce texte. A moins d'achever cet exposé juste après le chapitre consacré 
aux applications, il m'a ainsi fallu dépasser le lapidaire et spontané « On peut le 
faire ! » sans pour autant plonger le lecteur dans la complexité phénoménale des idées 
supplémentaires qui ont été nécessaires à l'obtention des records évoqués plus haut. 
Le compromis que j'ai essayé d'adopter dans ce texte, un peu différent des nombreux 
survols du sujet disponibles dans la littérature, est celui d'un mathématicien pur 
subitement intéressé par ce problème de mathématiques appliquées. 

Lorsque je décris la complexité d'algorithmes en temps ou en espace, j'emploie les 
notations O(-) et O(-). La première signifie que le nombre d'opérations élémentaires, 

K^sp. l'espace disque, requis par l'algorithme est majoré par un multiple de son argu- 
ment, lorsque celui-ci tend vers l'infini. La seconde est analogue, à une puissance du 
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logarithme de l'argument près; en pratique, il suffit de retenir que 0{x) est majoré 
par 0(a;^+'^) pour tout e > 0. Toutefois, même si je n'en parlerai jamais, il ne faut 
pas perdre de vue que le contrôle de la constante que cachent ces notations est d'une 
importance pratique capitale ; il est bien différent de pouvoir obtenir un résultat en 
une minute plutôt qu'en mille. 

Je tiens à remercier Jean-Benoît BOST, Bas Edixhoven, Reynald Lercier, Ber- 
nard Le Stum, David Lubicz et Jean- François Mestre de l'aide qu'ils m'ont appor- 
tée au cours de la préparation de cet exposé. Je remercie aussi Robert Carls, David 
KOHEL, René Schoof et Jean-Pierre Serre pour leurs commentaires sur la première 
version de ce texte. 



1. APPLICATIONS 

1.1. Critères de primalité 

Etre en mesure de décider si un entier naturel est ou pas un nombre premier est une 
question arithmétique fondamentale dont les techniques modernes de cryptographie 
ont d'ailleurs accru l'importance. 

En 1986, S. Goldwasser et J. Kilian ont proposé (voir [57j) le premier algo- 
rithme permettant de décider si un entier N est un nombre premier dont la com- 
plexité soit polynomiale en logA^. Cet algorithme requiert de calculer le cardinal de 
courbes elliptiques E sur l'anneau ï/NTi « choisies au hasard ». Pour cela, on peut 
tenter d'appliquer l'algorithme de Schoof, en faisant comme si N était premier. Si 
l'algorithme échoue, cela prouve que N n'est pas premier. Supposons qu'il fournisse 
un cardinal putatif c. On peut tester si un point au hasard P sur la courbe E est 
annulé par c; si ce n'est pas le cas, N n'est pas premier. Inversement, supposons que 
l'ordre d de P possède un facteur premier p tel que p > [1 + VN)"^ et tel que le 
point [d/p]P ne rencontre pas l'origine O de la courbe E (au sens oii ce point [d/P]P 
ait des coordonnées homogènes {x : y : z) dans (Z/NZ), z étant premier à N) ; alors 
N est premier. (Sinon, désignant par i le plus petit facteur premier de N, l'image de P 
dans E{Z/£Z) serait d'ordre multiple de p, et cela contredirait la borne de Hasse pour 
le cardinal d'une courbe elliptique sur un corps fini). L'algorithme de Goldwasser 
et Kilian tente alors d'exhiber de telles familles {E,P,d,p) où \E{Z/NZ)\ — 2p, la 
primalité de p étant établie récursivement par la même méthode. 

Comme l'algorithme de SCHOOF est de complexité polynomiale en logiV, il en est 
de même de celle de l'algorithme de Goldwasser et Kilian. Toutefois, le fait que cet 
algorithme parvienne à conclure pour tout N dépend d'une conjecture apparemment 
hors de portée sur la répartition des nombres premiers dans de petits intervalles. 
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Adleman et HuANG [2\ ont eu l'idée d'utiliser des courbes de genre 2. Cela fournit 
plus de latitude et leur permet d'affirmer l'existence d'un algorithme probabiliste de 
complexité polynomiale en log N permettant de décider si l'entier N est premier. 

Cependant, l'algorithme de Schoof, même avec les améliorations d'ATKiN et El- 
KIES (qui font l'objet du paragraphe 12.2.51 ci-dessous ) n'est pas suffisamment efficace 
pour permettre d'envisager de tester ainsi la primalité d'entiers ayant plus de quelques 
centaines de chiffres décimaux. Si l'algorithme fastECPP (fast elliptic curve primality 
proving) a permis de prouver la primalité de nombres ayant plus de vingt mille chiffres 
décimaux (MORAIN, mi-2006), c'est en utilisant l'idée d'ATKiN d'employer, plutôt que 
des courbes aléatoires, des courbes elliptiques à multiplication complexe (de discrimi- 
nants relativement petits, au plus 10^) dont l'algorithme de Cornacchia US] bien 
que probabiliste, permet de calculer rapidement le cardinal. 

Pour plus de détails, je renvoie à l'exposé de F. MoRAiN [ÏÏT] à ce Séminaire, au 
chapitre 9 du livre 27J d'H. Cohen, ainsi qu'au chapitre 25 du manuel ^5] . 

1.2. Calcul d'une racine carrée modulo p 

Soit p un nombre premier impair et soit a un élément de Fp . Le calcul du symbole 

de Legendre ( — ) — a'^"^-*/^ est un moyen simple pour décider si a est un carré, à 

condition bien sûr de calculer la puissance par des élévations au carré successives. 
Ce que ce critère ne dit pas, c'est comment trouver une racine carrée, c'est-à-dire un 
élément 6 € Fp tel que — a. 

Lorsque p = 3 (mod 4), on peut poser b = a'^P^^^^^. Le cas crucial est donc celui 
où p = 1 (mod 4), 

Les algorithmes de factorisation de polynômes dans Fp, tel celui de Berlekamp, 
fournissent une solution efficace. Rappelons-en le principe dans ce cas particulier : si 
X est un élément de Fp, distinct de ±6, les deux racines x -\- b et x — b dn polynôme 
{X — x)'^ — a seront simultanément carrés ou non carrés si et seulement si (x+b)/ (x—b) 
est un carré dans Fp. Si ce n'est pas le cas, c'est-à-dire une fois sur deux si x est choisi 
au hasard, le pgcd des polynômes X'^ — a et {X + x)'^p~^^^'^ — 1 sera l'un des polynômes 
X zLb. Le calcul d'un tel pgcd requiert un nombre d'opérations élémentaires au plus 
égal à une puissance de logp : il suffit en effet de calculer {X + a;)^^^^^/^ — 1 dans la 
Fp-algèbre Fp[X]/{X^ - a). 

Comme les autres algorithmes de factorisation dans les corps finis de complexité 
équivalente, il s'agit toutefois d'un algorithme probabiliste c'est-à-dire que l'on a seule- 
ment une très forte probabilité que l'algorithme se termine en un temps donné. Pré- 
cisément, la probabilité que l'algorithme se termine en X étapes est 1 — 2~^, mais 
rien n'interdit de n'avoir pas de chance. 

Connaissant un générateur du sous-groupe 2-primaire de F*, l'algorithme 
de Shanks présenté dans |107j permet alors de calculer des racines carrées dans Fp 
en temps O(logp). D'après |6], si l'hypothèse de Riemann généralisée aux fonctions L 
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de Dirichlet est vérifiée, le plus petit entier positif x qui n'est pas un carré niodulo p 
vérifie x < 2(logp)^. Écrivons p — 1 sous la forme 2''q avec fc ^ et g impair; on 
voit que ^ = x^P'^^/'' mod p est un générateur du sous-groupe 2-primaire de F*. 
Modulo GRH, on a ainsi un algorithme pour calculer des racines carrées dans F* dont 
la complexité est polynomiale en logp. Hélas, on ne sait pas en général construire 
un tel générateur ^ de manière déterministe en temps polynomial en logp sans faire 
appel à l'hypothèse de Riemann. 

Comme l'a montré Schoof, une conséquence de son algorithme de calcul du car- 
dinal d'une courbe elliptique sur Fp est un algorithme déterministe (dépendant de a) 
de complexité polynomiale en logp pour calculer une racine carrée de a modulo p. 

Supposons en effet que a = —D (mod p), où —D est le discriminant d'un ordre û 
d'un corps quadratique imaginaire K. Par la théorie de la multiplication complexe, 
Schoof construit une courbe elliptique E sur une extension finie F de Fp dont 
l'anneau des endomorphismes est Ô". C'est la partie de l'algorithme la plus coiiteuse 
car [F : Fp] est de l'ordre de ^/—D ; la complexité de son algorithme dépend donc de 
l'entier a. Soit q le cardinal de F. Dans le corps K , l'endomorphisme de Frobenius est 
de la forme x + yVD, avec x,y € ; on a, 2x = ts = q + 1 — \E{F)\ et x^ + Dy"^ = q. 
Une fois calculé |i?(F)| par la méthode de Schoof (et non par celle de Cornacchia, 
probabiliste) , on connaît ainsi x et \y\. Comme D est un carré modulo p, la courbe 
elliptique E est ordinaire et t^; n'est pas multiple de p; par suite a; et y ne sont pas 
multiples de p et la réduction modulo p de {2x)/{2y) est une racine carrée de a. 

Comme le remarque Schoof à la fin de [105 , on peut combiner ceci avec l'algo- 
rithme de Shanks lorsqu'on suppose, par exemple, p ^ 1 (mod 16). En effet, si Ç 
est un générateur de la composante 2-primaire de F*, c'est une racine de l'unité dont 
l'ordre divise 8, donc £, s'exprime en termes de racines carrées de —1 et 2 dans Fp. 
On peut ainsi calculer ^ en temps polynomial en logp par l'algorithme de Schoof 
utihsant les courbes eUiptiques. 

De manière analogue. Pila a montré dans [57] comment son algorithme de calcul 
de la fonction zêta d'une courbe de genre supérieur, appliqué à la courbe de Fermât 
d'équation x^ + y^ + — oij ^ est un nombre premier fixé, permet de calculer 
en temps polynomial en logp les racines primitives £-ièmes de l'unité dans le corps 
fini Fp, pourvu bien siir que p = 1 (mod £). 

1.3. Cryptographie 

En 1975, DiFFiE et Hellman ont proposé f4Ô^ une solution élégante permettant à 
deux individus d'échanger une information secrète bien que le canal de communication 
puisse être espionné par une oreille indiscrète. 

Son principe est le suivant. Les deux protagonistes, Antoine et Bernadette, 
conviennent d'un groupe G (noté multiplicativement) et d'un élément g de ce 
groupe. Antoine choisit un entier a, calcule g"" et le transmet à Bernadette ; celle-ci 
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choisit un entier b, calcule et le transmet à Antoine. Le secret commun est 
l'élément g"'' du groupe G, que nos deux héros sont en mesure de calculer puisque 
3°'' = (5")^ = {9^)'^ ; ils peuvent par exemple l'utiliser comme paramètre d'un système 
de codage symétrique. 

Il est nécessaire d'indiquer que ce protocole ne résiste pas à une attaque active : 
supposons que Charles s'immisce dans la conversation et parvienne à se faire pas- 
ser pour Antoine à Bernadette et à Bernadette pour Antoine. Il peut alors choisir 
des entiers a', b', transmettre g"" à Bernadette et g^ à Antoine. Ce dernier utilise 
donc g"'' pour coder ou décoder un message, tandis que Bernadette utilise g" Puis- 
qu'il connaît g"'' — et g° = (<?'')° , Charles peut intercepter un message 
d'Antoine, le décoder et le recoder à l'intention de Bernadette, ou inversement, sans 
qu'aucun des deux n'ait pu se douter de quoi que ce soit. 

Même s'il n'a pu intervenir physiquement dans la conversation, Charles a connais- 
sance de G, g ainsi que des deux éléments 5" et g''. Pour qu'il puisse en déduire 5°'', 
il suffirait qu'il soit en mesure de calculer a (ou b). 

Le problème, étant donné deux éléments g et h d'un groupe G, de déterminer un 
entier a tel que h = g"" est appelé problème du logarithme discret. Pour que le protocole 
de Diffie-Hellman résiste à une attaque passive, il est manifestement nécessaire que le 
problème du logarithme discret dans le groupe G soit difficile à résoudre en pratique ; 
voir [m [93] pour l'étude de la réciproque, conjecturalement vraie — il suffirait de 
savoir construire, pour tout facteur premier p de \G\, une courbe elliptique sur Fp, 
dont le nombre de points est « lisse », c'est-à-dire que ses facteurs premiers sont petits. 

Les groupes cycliques Z/nZ ne conviennent évidemment pas, car l'algorithme d'Eu- 
clide permet très facilement, g étant un générateur fixé de ce groupe, de calculer 
a (mod n) connaissant ga (mod n). Diffie et Hellman ont proposé d'utiliser les 
groupes multiplicatifs de corps finis. 

En 1985, KOBLITZ et Miller ont montré que les groupes formés des points d'une 
courbe elliptique sur un corps fini sont de bons candidats ; plus généralement, on peut 
imaginer utiliser les groupes Pic° G des diviseurs de degré sur une courbe G définie 
sur un corps fini F. Il s'agit toutefois de trouver un bon compromis entre la commodité 
du calcul et la difficulté du problème du logarithme discret dans le groupe G. 

Si G est d'ordre n, il y a de nombreux algorithmes en 0{y/n) pour résoudre ce 
problème du logarithme discret, citons celui des kangourous Pollard [lOOj qui repose 
sur le paradoxe des anniversaires : tirons au hasard, avec remise, des éléments d'un 
ensemble fini de cardinal n ; le nombre moyen de tirages avant qu'on obtienne un 
élément déjà tiré est ^Jwnj2. 

Lorsque l'on connaît une factorisation de n, on peut tenter de résoudre le logarithme 
discret dans chacun des quotients d'ordre premier de G, puis utiliser le théorème 
chinois, d'oîi un algorithme de complexité 0(-\/ï) si t est le plus grand facteur premier 
de n (algorithme de Pohlig-Hellman, [99l). 
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Dans un groupe « générique », c'est-à-dire dont on ne sait rien et dont un oracle 
calcule le produit de deux éléments, l'inverse d'un élément et teste l'égalité de deux 
éléments, V. Shoup |109j a montré qu'un algorithme requiert un nombre de recours 
à l'oracle au moins proportionnel à ^/n. 

Compte tenu de ces attaques et de la puissance des moyens de calcul actuels, l'en- 
tier n doit donc être au moins égal à 2^^", de même que son plus grand facteur premier. 
D'oii en particulier la nécessité de connaître l'ordre du groupe G, donc de savoir cal- 
culer le cardinal d'une courbe elliptique ou, plus généralement, de la jacobiennc d'une 
courbe définie sur un corps fini. 

Pour les groupes G = F*, G = Pic°(G), mentionnés plus haut, il y a de nombreuses 
tentatives pour calculer le logarithme discret. Les techniques d'indice fournissent par 
exemple des algorithmes sous-exponentiels pour les groupes multiplicatifs de corps 
finis ; pour les groupes de classes de diviseurs de courbes hyperelliptiques, ils sont plus 
efficaces que les algorithmes génériques lorsque le genre est > 4. La non dégénérescence 
de l'accouplement de Tate-Lichtenbaum 

Pic°(G)[n] X Pic"(GF^J/n^ F;./(F;.)" 

permet une réduction du problème au cas du groupe multiplicatif d'une extension finie 
de Fç : si = 1 (mod n), cet accouplement (composé avec l'élévation à la puissance 
(g*^ — l)/n) fournit une injection de G dans F*^. Comme cet accouplement se calcule 
aisément [51] , il convient donc de choisir des courbes G telles que l'ordre multiplicatif 
de q modulo n ne soit pas trop petit, en pratique ^ 20. En particulier, cela proscrit les 
courbes elliptiques supersingulières. De même, il faut éviter que l'ordre n de Pic°(G) 
ne soit multiple de la caractéristique du corps F. 

Je renvoie aux ouvrages [121 [Hl EH] pour une description détaillée des diverses 
attaques possibles, des choix raisonnables d'un corps fini, d'une courbe G et d'un 
élément de Pic'^(G), et de la façon dont tout ceci peut être implanté dans une carte 
à puce. En outre, les articles [7H [52] m'ont été très utiles pour écrire ce paragraphe. 

Signalons enfin que les protocoles cryptographiques reposant sur la difficulté de 
résoudre le logarithme discret dans une courbe elliptique ont fait l'objet d'une spéci- 
fication par divers organismes de normalisation (ANSI, ISO, etc.) et sont au cœur de 
nombreux systèmes cryptographiques commercialisés. 



2. L'APPROCHE £-ADIQUE 

Soit F un corps fini à q éléments et soit E une courbe elliptique sur F, donnée par 
une équation plane (inhomogène) de la forme 

(2.1) + aixy + a^y — + a2X^ + 042; + ag, 
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OÙ les coefficients ai, a2, as, a4, ag sont des éléments de F. Lorsque p > 3, on peut se 
ramener à une équation de la forme de Weierstrass : 

(2.2) y^=x^ + ax + b, 

où a et b sont des éléments de F. Pour tout corps k contenant F, notons E{k) les 
/c-points de E, c'est-à-dire l'ensemble des solutions de l'équation (|2.1|) auquel l'on 
adjoint le point à l'infini O de P^(A;) de coordonnées homogènes (0 : 1 : 0). On sait 
que E possède une unique structure de groupe algébrique, commutatif, dont l'élément 
neutre est le point O. Elle se déduit de la construction par sécantes et tangentes : 
pour tout corps k contenant F, trois points Pi, P2 et P3 de E{k) sont alignés si et 
seulement l'on a, Pi + P2 + P3 ~ O dans le groupe E{k). 
Nous voulons calculer le cardinal du groupe abélien E{F). 

2.1. Premières approches 

2.1.1. Symboles de Legendre. — Lorsque E est de la forme ^I72\ on a 

{2 si + ax + 6 e (F*)2 
1 si 2;^ + ax + 6 = = 9 + 1 + XI 
sinon 

oîi ( - ) est le symbole de Legendre dans F, qui vaut 1 si i est un carré non nul dans F, 
\PJ 

si t = et —1 sinon. La complexité de cette méthode est 0{q). Elle n'est ainsi utilisable 
que si q est petit : un programme élémentaire requiert déjà 10 s pour déterminer que 
lorsque q = 1 048 609, et E a. pour équation y"^ ^x^ -\, \E{¥)\ = 1049 412. 

2.1.2. Frobenius. — L'élévation des coordonnées à la puissance q définit un mor- 
phisme tte - E ^ E de groupes algébriques, appelé endomorphisme de Frobenius. 
Dans l'anneau End(£') des endomorphismes de E, t^e vérifie une relation polyno- 
miale : 

(2.3) 7r| - é^ttê + g = G, 

oùtE est un entier relatif tel que |t£;| ^ En outre (Hasse, [63l[64]), cet entier Ie 
est relié au cardinal de E{Y) par la formule 

(2.4) \E{F)\=q + l-tE. 

Rappelons enfin que Ie est la trace de tïe dans End(i?) ; on a en effet l'égalité : 

(2.5) ifîidB = ttb + TT^, 

011 TT^ est l'isogénie duale tt^, définie par tt^ o tte ~ çide, traduisant le fait que la 
norme de tte dans End(i?) est égale à q. 
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2.1.3. Pas de bébés, pas de géants. — Pour calculer l'ordre d d'un élément g d'un 
groupe abélien fini G, la méthode la plus évidente consiste à calculer g, 2g, etc. jusqu'à 
dg, égal à l'élément neutre. Cela requiert d opérations dans le groupe G. 

Voici comment D. Shanks |107j propose de procéder si l'on connaît un encadrement 
D ^ d < D + G de d, où D et G sont des nombres entiers. Soit t = \\/C~\ le plus petit 
entier supérieur ou égal à VC. Il existe des entiers i et j vérifiant ^ i, j < t tels que 
d — D ^ it + j, d'où l'égalité {d — D ~ j)g = itg dans G. 

Il suffît alors de calculer d'une part les t multiples gi — itg, pour ^ i < i, de tg, 
d'autre part les t multiples bj — {d — D)g — jg, et de déterminer un élément de la 
première liste qui appartient à la seconde : si gi = bj, on a, d = D + it + j . Le nom 
de la méthode, baby steps — giant steps, vient de ce que les éléments bj sont dans une 
progression de « pas de bébé » g, tandis que les éléments gi sont dans une progression 
de « pas de géant » tg, t étant approximativement égal à la racine carrée de G, supposé 
grand. Il en résulte un algorithme pour déterminer l'ordre d'un élément d'un groupe G, 
requérant O(VC') opérations dans G et le stockage d'autant d'éléments de G lorsque 
l'on sait que cet ordre appartient à un intervalle de longueur G. 

Appliqué au groupe E{F), on peut ainsi trouver l'ordre d'un élément donné en un 
temps proportionnel à un multiple de y/q (multiplié par un facteur logarithmique en q, 
correspondant à la complexité du calcul dans un corps de cardinal q) . Cela ne fournit 
cependant pas le cardinal de E{F). Toutefois, si P est un point de E{F) d'ordre d, on 
a, tE = q + i (mod d) d'après le théorème de Lagrange, d'oii la valeur exacte de tE si 
d > 4^. 

Un tel point n'existe pas toujours. Toutefois, un lemme de Mestre affirme que 
si E n'a pas de point d'ordre au moins 4y^, alors sa « tordue quadratique » E' , en 
possède un, tout au moins si q est assez grand (q ^ 1373 suffit certainement, cf. Il06j . 
th. 3.1). Si, par exemple, E est donnée par l'équation ()2.2p . cette courbe E' est donnée 
par l'équation 

OÙ uj est un élément de F* qui n'est pas un carré. (Le moyen le plus simple d'obtenir 
un tel élément uj consiste à choisir des éléments de F* au hasard, jusqu'à ce que l'un 
convienne.) Les cardinaux de ces courbes sont reliés par la relation 

\EiF)\ + \E'{F)\^2iq+l), 

si bien qu'il suffit de déterminer le cardinal de l'une d'entre elles. En choisissant des 
points au hasard sur ces deux courbes, on obtient rapidement un point d'ordre assez 
grand, puis, par la méthode de Shanks, le cardinal de E{F) et E'{F). 

Le nombre d'opérations que peut requérir l'algorithme de Shanks est 0{q^^^) 
et le calcul effectif dans E{F) nécessite au plus une puissance de logg opérations 
élémentaires. 

On a ainsi décrit un algorithme probabiliste, de complexité 0(g^/'*) pour calculer 
le nombre de points d'une courbe elliptique sur un corps fini à q éléments. 
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2.1.4. Courbes à multiplication complexe. — Supposons que l'on sache que la 
courbe E admette de la multiplication complexe par un ordre û de discriminant —D 
d'un corps quadratique imaginaire K. Comme nous l'avons dit dans le paragraphe 
consacré à l'extraction de racines carrées, l'endomorphisme de Frobenius est de 
norme q dans End(£'), donc s'écrit tte = \{x + yy/^D) dans K, où x, y sont des 
entiers relatifs de même parité qui vérifient la relation 



Alors, tE ^ X. Comme tte n'est pas un multiple dans ^, le pgcd de a; et y est 1 
ou 2. Supposons-les impairs pour simplifier, les adapations à faire dans la suite sont 
évidentes. 

L'algorithme de CORNACCHIA (voir f95^ pour une démonstration élémentaire) et, en 
fait, tout algorithme de réduction de réseau fournissant un vecteur de petite longueur 
dans un réseau euclidien de dimension 2, permet de calculer tous les couples {x,y) 
d'entiers premiers entre eux qui vérifient l'équation (|2.6p . 

La première étape consiste à déterminer les entiers u tels que = —D (mod 4g) 
et 2q < u < Aq. Pour trouver un tel u, on commence généralement par résoudre la 
congruence modulo p par un algorithme probabiliste, puis on utilise la méthode de 
Newton p-adique. 

Pour chacun de ces entiers m, appliquons alors l'algorithme d'Euclide au couple 
(4(7, u) et arrêtons-nous au premier reste x strictement inférieur à 2^ ; si {Aq — x"^) j D 
est le carré d'un nombre entier y, alors (±a;, ±î/) est solution de (|2.6|) . Sauf si D = — 1 
oîi il faut aussi considérer (±y,±a:), on obtient ainsi toutes les solutions (primitives) 
de l'équation (|2.6p . 

Par cette méthode, on peut donc calculer |i?(r)| au choix du signe de x (voire celui 
de y si = —1) près. Inévitable puisqu'on ne distingue pas la courbe E de sa tordue 
quadratique, cette ambiguïté se résout toutefois sans peine, par exemple en regardant 
l'ordre d'un point de £'(F) pris au hasard. 

2.2. Algorithme de Schoof 

2.2.1. Représentations. — Fixons une clôture algébrique F de F. Soit n un entier 
naturel premier à la caractéristique de F et notons E[n] le sous-groupe de E{F) formé 
des points P tels que nP = ; il est isomorphe à (Z/nZ)^. Tout endomorphisme u 
de E laisse stable d'oîi une action de End(i?) sur E[ri] qui, si l'on choisit une 

(Z/?iZ)-base de E[n], s'identifie à un homomorphisme d'anneaux 



En particulier, il correspond à tte une (classe de conjugaison de) matrice dont le 
polynôme caractéristique est précisément X^ — i^jAT + ç, modulo n, cf. l'équation (|2.3|) . 



(2.6) 



x^ -f Dy^ = Aq. 



(2.7) 



p„: End(S) ^ M2(Z/nZ). 
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2.2.2. Principe de l'algorithme de SCHOOF. — En 1985, R. SCHOOF |105j propose 
de calculer |-E(F)| de la façon suivante : 

a) calculer Ie modulo pour des nombres premiers ^i,£2, ■ • ■ distincts de la ca- 
ractéristique de F ; 

b) en déduire, par le théorème chinois, tE modulo le produit L des ; 

c) en déduire Ie grâce à l'inégalité de Hasse si L > 4y^. 

La seconde étape est relativement évidente, de même que la dernière puisqu'il n'y 
a qu'un seul entier congru à Ie dans l'intervalle [ç + 1 — ^L, ç + 1 + ^L] si L > 4^. 
Expliquons donc comment calculer tE modulo £ si £ est un nombre premier. Récrivons 
la relation (|2.3p en la spécialisant aux points de E[£] : pour tout P G E[£], on a 

TT%{P)+qP = tETTE{P)- 

Si l'on trouve un entier t tel que l'on ait Tr'^{P)+qP ~ tTïE{P) pour un point P G E[£], 
il vient alors [t — tE)T^E{P) ~ O, d'où t = tE (mod £) si P est d'ordre £ (c'est-à-dire 
P^O). 

2.2.3. Polynômes de division. — La multiplication par £ dans E est donnée par une 
transformation rationnelle de P^, de degré £'^, de la forme (x : y : z) i— > {Pg{x,y,z) : 
Qi{x,y, z) : Ri{x,y, z)) où Pi, Qi, Ri sont trois polynômes homogènes de degrés £'^ à 
coefficients dans F, premiers entre eux. L'origine O de E étant l'unique point à l'infini 
de E, un point (x : y : z) d E!(F) appartient à E[£] si et seulement si Re{x, y, z) = 0. 
Si l'on se restreint au complémentaire de l'origine, le schéma des points d'ordre £, 
E* ^ E[£]nA'^, est donné par les équations Re{x,y,l) — et (|2.ip . 

Pour effectuer la première étape, il faudrait donc être capable de calculer les co- 

2 

ordonnées d'un point de Eg, c'est-à-dire de trouver une solution explicite (x, y) &F 
de ce système d'équations. Malheureusement, même s'il existe des algorithmes de 
complexité polynomiale en logq pour cela, ces algorithmes sont tous probabilistes, 
c'est-à-dire qu'ils requièrent l'utilisation d'un générateur de nombres aléatoires et que 
l'on a seulement une très forte probabilité que l'algorithme se termine en un temps 
polynomial en logq. Schoof contourne cette difficulté en s'intéressant directement à 
la totalité des points d'ordre £, c'est-à-dire au schéma E'^ lui-même. Soit l'anneau 
des fonctions de ce schéma E^, c'est-à-dire 

(2.8) Al = F[x, y]/{y'^ + aixy + a^y ~ x^ - a2X^ - a^x - aQ,Rt{x, y, 1)). 

L'image du couple d'indéterminées (x,y) dans donne les coordonnées d'un point, 
tautologique, d'ordre £ de E h, coefficients dans Ag. Les endomorphismes tï% + q et 
t-ïïE, pour t € Z non multiple de £, induisent des endomorphismes de donc des 
endomorphismes de Ag. Vu la présentation donnée de l'algèbre Ag, un endomorphisme 
u de Ag détermine deux éléments et de Ag, correspondant aux coordonnées 
de u{P), lorsque P est le point tautologique de E^{Ag). 
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SCHOOF calcule ces éléments Yu) lorsque u est l'un des endomorphismes v = 
7r|; + q idg et ut = tnE, pour t G {±1, • ■ • , àz^^}. S'il y a une coïncidence {Xy, Yy) = 
(Xut, Yu^), alors ts = t (mod €), sinon, = (mod €). 

2.2.4. Complexité. — Il correspond à l'endomorphisme -ke un couple (Xtt, 1^) de Ai, 
image de (a;'^,y^). Son calcul revient à une élévation à la puissance q qu'on effectue, 
par élévations successives au carré, en O(logg) multiplications dans Ai. En utili- 
sant les formules d'addition dans E, chacun des l — 1 couples {X^t, i^uj à considérer 
demande 0(1) multiplications supplémentaires. Il faut donc effectuer 0(^+logq) mul- 
tiplications dans Al pour calculer Ie (mod i) selon la méthode décrite. 

L'algèbre Ai est de dimension £^ — 1 sur F et sa présentation est assez pratique. 
Par exemple, si p > 3 et que E est donnée sous la forme (\Z.2\ . elle est de la forme 

(2.9) ¥[x,y]l{Mx),y^ -x^ -ax-b), 

011 ipi est un polynôme de degré [l"^ — l)/2, appelé polynôme de division et tel que, si 
P est un point de E d'abscisse x, ^pi{x) soit l'abscisse du point £P. 

Notons Mq(n) le nombre de multiplications dans F requises par une multiplication 
dans une telle algèbre de dimension n. Naïvement, Mq{n) — O(n^) lorsque n tend 
vers l'infini, mais la découverte de méthodes de multiplication rapide (Karatsuba, 
utilisation de la transformée de Fourier rapide par Schonhage et Strassen) a permis 
de voir que Mq(n) — 0(n^+^) pour tout e > 0, ce qu'on notera ici Mq{n) — 0(n). 
De même, si le corps F est présenté sous la forme Fp[t]/(/), où / est un polynôme 
irréductible de degré d à coefficients dans Fp, la multiplication dans F nécessite 0(d) 
multiplications dans Fp. Finalement, une multiplication dans Ai requiert 0{f'\ogq) 
multiplications élémentaires. 

Ce sont bien sûr des évaluations asymptotiques et les constantes implicites dans 
ces expressions O et O sont grandes ; ainsi, pendant longtemps, les méthodes rapides 
n'ont été compétitives que pour de grandes valeurs de n. Apparemment, l'évolution 
récente des ordinateurs les rend praticables. 

En définitive, le calcul de Ie modulo l a une complexité majorée par 0(^'^(log g)^). 

Par ailleurs, le théorème des nombres premiers entraîne l'existence d'un nombre 
réel c > tel que l'on ait pour tout nombre réel a; > 2 la minoration ^ 

(2.10) JJ^^e^/^ 

Kx 

Par suite, le produit Ln ~ £1 . . . £n des N premiers nombres premiers est supérieur 
à 4:y/q si N est minoré par un multiple de log q. Cela fournit finalement un algorithme 
déterministe de calcul de èe, et donc de |i?(F)|, dont la complexité est 0{{\ogq)^). 



'^'ll semble qu'on puisse prendre c = 2 si l'on impose en outre x > 11. 
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2.2.5. Améliorations d'Atkin et Elkies. — Comme aime à le présenter R. Schoof, ces 
améliorations visent à utiliser l'action de Frobenius sur des objets de taille plus petite 
que le groupe E[£] lui-même. O. Atkin [H[5] considère ainsi la droite projective iE[£]\ 
{0})/F| quotient de i;^[£]\{0}, tandis que N. Elkies ^\ utilise (quand ils existent) les 
sous-espaces propres de l'action de Frobenius, c'est-à-dire les sous-schémas en groupes 
de E[e]. 

Étudions donc plus en détail l'action de tte sur le groupe E[£] des points de i- 
torsion. Celle-ci s'interprète comme un endomorphisme ni = pe{nE) de E[£], vu 
comme F^-espace vectoriel de dimension 2. Les espaces propres de tti correspondent 
aux sous-groupes cycliques C de E[£] qui sont définis sur le corps F. À un tel sous- 
groupe cyclique C correspond une courbe elliptique E' = E/C, définie sur F, et liée 
à E par une isogénie de degré £. Les invariants j et j' des courbes E et E' fournissent 
alors un point F-rationnel de la courbe modulaire Xq{£), identifiée abusivement 

à son image dans x = Xo{l) x Xo{l). 

Inversement, si E n'est pas supersingulière et si son invariant j n'est ni égal à 
ni égal à 1728 (courbes qu'on qualifiera d'exceptionnelles), Atkin démontre qu'il 
correspond à tout invariant j' € F tel que (j, j') G -^o(^) une courbe elliptique E' 
sur F et une isogénie de degré £, ip: E — > E' . Cela repose sur le fait que sur les 
F-endomorphismes de telles courbes elliptiques sont définies sur F et que seuls ± id 
sont d'ordre fini, voir 106 . 

Les courbes exceptionnelles sont traitées indépendamment. Celles d'invariants 
et 1728 admettent des multiplications complexes par Z[j] et Z[i] respectivement et leur 
cardinal se calcule facilement par l'algorithme de CORNACCHIA. Quant aux courbes 
supersingulières, leur nombre de points dans F est si particulier {cf. [117 , th. 4.1) 
que l'on peut rapidement, en choisissant des points au hasard, vérifier si E est super- 
singulière et calculer E{F). Nous supposons donc que E n'est pas exceptionnelle. 

L'équation de la courbe Xç){i) dans P^ x P^ est un polynôme G ï[X,Y], 
symétrique et de degré £ + \ en chacune des variables — le polynôme modulaire ; 
autrement dit, <&£(j, X) est le polynôme minimal sur Q(j) de la fonction méromorphe 
j(g^) sur Xq{£). Son calcul effectif est possible, au moins si £ n'est pas trop grand, 
soit à l'aide du développement en série de Fourier de la fonction modulaire j{q) et 
des fonctions j{q^), j{C<l)i pour = 1 (c/- [Sû])) soit par interpolation en choisissant 
des valeurs particulières de q {cf. [47]). Toutefois, les polynômes modulaires sont de 
hauteur très grande : d'après P. Cohen [29], lorsque £ tend vers l'infini, 

(2.11) h{<Pi) ^ 6£\og£ ; 

pour donner un exemple, le terme constant de $5 possède 43 chiffres décimaux! 
Comme £ est de l'ordre de logg, on utilise d'autres équations de la courbe modu- 
laire Xo{£), données par le polynôme minimal d'autre fonctions sur Xci{£). Atkin a 
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par exemple proposé d'employer la fonction 




s = 12/pgcd(12,^-l), 



OÙ 7] désigne la fonction i] de Dedekind, donnée par 



oo 



(2.13) 



r7(T) = gi/24 q 



n=l 



Si j est l'invariant de la courbe E, supposée non exceptionnelle, la factorisation 
de ^e{j,Y) dans F[Y] reflète donc l'action de tte sur E[£] : 

a) si ne est diagonalisable, ^e{j,Y) possède deux facteurs de degré 1, ses autres 
facteurs sont de même degré r, et — est un carré modulo i ; 

b) si -Kl n'est pas semi-simple, t|; — 4g = (mod £) et Y) possède exactement 
deux facteurs irréductibles, l'un de degré 1 et l'autre de degré r = l\ 

c) si TTi est semi-simple, non diagonalisable, i|; — 4(7 n'est pas un carré modulo i et 
les facteurs irréductibles de Y) sont tous de même degré r. 

Avec ces notations, r est l'ordre de la matrice tt^ et il existe un élément ^ € F^* 
d'ordre r tel que Ie = 9(C + (mod €). 

Dans les deux premiers cas, il existe un sous-groupe C de défini sur F, corres- 
pondant à un quotient de l'algèbre Ag utilisée par Schoof, c'est-à-dire à un facteur 
^/ic de degré ^ — 1 du polynôme de division il) g. Pour déterminer ce facteur sans expli- 
citer 11)1, N. Elkies explique dans [45] comment construire une courbe elliptique E' 
sur F et une isogénie ip: E ^ E' de noyau C. Ses formules utilisent la théorie des 
fonctions elliptiques et font intervenir des dénominateurs ; elles ne conviennent que si 
la caractéristique du corps F est supérieure à è, cf. |106j et le chapitre 17 de [28j. En 
« petite caractéristique », diverses méthodes existent : utilisation de la loi de groupe 
formel ou du sous-groupe de p-torsion (Couveignes, [79l[3Ô]), [8Ô] en caractéristique 2. 

Dans le troisième cas, la factorisation de ^e ne fournit qu'une information partielle 
sur tE (mod £), dont O. Atkin a montré comment la connaissance pouvait accélérer 
grandement le calcul de tE- 

2.2.6. Résultats. — L'algorithme obtenu en combinant la méthode de Schoof et 
les améliorations d'ÂTKiN et Elkies est surnommé SEA. Sa complexité, en temps et 
en espace, est polynomiale en logç, respectivement 0{{\ogq)'^) et 0((logg)^). Tou- 
tefois, comme il requiert la factorisation d'un polynôme à coefficients dans un corps 
fini, c'est un algorithme probabiliste. Il est décrit en grand détail dans [M] lorsque 
la caractéristique du corps n'est pas trop petite ; je renvoie aussi à la présentation 
de MORAIN [90^. 

Son implémentation concrète a été réalisée par de nombreuses personnes, dans de 
nombreux systèmes de calcul algébrique, dont Magma [16] et Pari/GP [96]. L'implé- 
mentation en caractéristique 2 de Vercauteren lui a permis de calculer le cardinal 
d'une courbe elliptique sur F21999 à l'aide de 10 Pentium II 400 Mhz en environ une 
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semaine, cf. [ 112j . Le record actuel est détenu par Enge, Gaudry et MORAIN qui 
ont calculé le nombre de points d'une courbe elliptique sur un corps fini de cardinal le 
nombre premier p = 10^°^^ + 6243, cf. [48]. Le temps de calcul sur une machine puis- 
sante (Processeur AMD 64 3400+, 2,4 GHz) est de l'ordre de 200 jours, non compris 
le calcul des polynômes modulaires ! 

2.3. Généralisations 

2.3.1. Cohomologie étale. — Pour expliquer le titre de ce chapitre et le principe des 
généralisations de l'algorithme de Schoof, il nous faut faire quelques rappels sur la 
cohomologie ^-adique. Soit F un corps fini, notons q son cardinal. Fixons une clôture 
algébrique F de F et notons Fg^ le sous-corps à q" éléments de F, de sorte que F, = F. 
Soit (f l'automorphisme de Frobenius géométrique de F, inverse de l'automorphisme 
de Frobenius arithmétique a: i~+ x"^. 

Soit £ un nombre premier distinct de la caractéristique de F ; notons Fe le 
corps Z/£Z, Zf l'anneau des entiers i?-adiques et son corps des fractions. 

Soit X un schéma séparé de type fini sur F, posons X — X ^F. Les groupes de 
cohomologie ^-adique à support propre de X définis par Grothendieck, 

(2.14) Hi(X,Fe), K(X,Qi), K(X,Ze), 

sont respectivement des espaces vectoriels de dimension finie sur F^, Qf, et des Zf- 
modules de type fini, nuls si i < ou si i > 2dmiX. Ils sont munis d'une action 
de Gal(F/F) et permettent le calcul du cardinal de ^(F) via une formule de Lef- 
schetz [601 ES] : 

2dimJÏ 

(2.15) |X(F)|= Y. i-^YM^mXMi))- 

i=0 

Cette formule, appliquée aux extensions finies de F, entraîne la formule suivante pour 
la fonction zêta de X : 

oo ^ 2 dim X 

(2.16) Z{X,t)^exp{Y,\X{Fg.)\-)= [] det(l - Mi/^(X, Q,)(-i)'^\ 

ri=l i=0 

d'où, de nouveau, la rationalité de la fonction zêta de X. 

On a Hi(X, Qi) = Hl(X, Zi) (g)z, Qi, et s'il n'est pas vrai que iî*(X, Zi) (g)z. Fi 
est égal à Hl(X,Fe), ces deux groupes peuvent être reliés, de sorte que l'on a une 
congruence modulo £ ([35], Fonctions L modulo t^, p. 116, th. 2.2) : 

2dimX 

(2.17) l^(F)|^ Y. MvWliX.F,)) (mod£). 

Supposons par exemple que X = E soit une courbe elliptique E. Si A est l'un 
des anneaux F^, Z^, Qf, alors H^{E,A) — A, H^{E,A) = A, les endomorphismes ip 
étant respectivement l'identité et la multiplication par q, tandis que H^{E,A) est 
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un yl-module libre de rang 2. En outre, H^{E,Fe), muni de l'action de ip, s'identi- 
fie canoniquement à E[£], muni de l'action de l'endomorphisme tte, et le polynôme 
— tsX + q est le polynôme caractéristique de ip agissant sur H^{E, Fg). En parti- 
culier, tE = TT{ip\H^{E,F£)) (mod £). Dans ce cas, l'entier ts est d'ailleurs la trace 
commune de ip sur tous les espaces Hl{E, Zf), H^{E, Qg) et l'on a 

Ainsi, avec ces identifications, la congruence (|2.17[) n'est autre que celle qui est à 
la base de l'algorithme de Schoof, d'où le titre, approche £-adique, de ce chapitre. 

Revenons au cas général en supposant que X soit projective et lisse. P. De- 
ligne [34] a démontré que pour tout i, le polynôme caractéristique de ip agissant 
sur l'espace Hl{X, Qi) est un polynôme à coefficients entiers qui ne dépend pas de £ 
(distinct de la caractéristique de F) et dont les racines complexes sont toutes de 
module g'^^. Omettant par abus l'anneau des notations, on a en particulier la 
majoration 

(2.19) \TT{^mX))\ ^ q^/' àÏTnHlÇX). 

Cette inégalité généralise la majoration de Hasse ; conjecturée par Weil, c'est l'ana- 
logue pour la variété X de l'hypothèse de Riemann. 

Pour calculer |X(F)|, il suffit de calculer Tr((p|iî*(X)). Faisons l'hypothèse que X 
est projective, lisse et géométriquement intègre (sans pour autant supprimer l'indice c 
de la cohomologie) , et supposons que l'on a H^{X, Zg)) (g) ~ Hl{X, Fi). On a alors 
la congruence 

Tr(^|i/^(X)) ^ TT{^\Hl(X,Fg)) (mod £). 
Adapté à ce cadre, l'algorithme de Schoof procéderait de la façon suivante : 

a) calculer Tr((^|iï^(X, F^)) pour i = £i,£2, ■ ■ ■ ,£n et ^ i 2dimX ; 

h) en déduire, par le théorème chinois, l'entier Ti{(p\Hl{X)) modulo L = £i . . . £n ; 

c) en déduire l'entier Tt{(p\HI{X)) si L est au moins égal à deux fois la borne 
donnée par l'équation (|2.19p . 

Le problème est d'avoir une prise raisonnable sur le groupe de cohomologie 
Hl{X ,Fi). Sous les hypothèses données, la dualité de Poincaré identifie iî* muni 
de (fi et i/2dimJs:-î muni de q'^^™'^(p~^. Supposons donc ^ i ^ dimX. Pour i = 0, 
on a Hl^{X,Fi) = F^ et (/j = id ; la trace cherchée vaut 1. Pour i — 1, H^{X,Fe) 
s'identifie au groupe correspondant H^{A,Fe), où A est la variété d'Albanese de X. 
C'est une variété abélienne que l'on peut espérer décrire explicitement de sorte à 
appliquer la méthode de Schoof. Toutefois, pour 2 ^ z ^ dimX, il ne semble pas 
y avoir, en général, de description raisonnablement effective de Hl{X ,Fi). Cette 
approche restera donc limitée aux courbes et aux variétés abéliennes, dont la coho- 
mologie est contrôlée par le H^, voire aux variétés pour lesquelles l'on peut décrire 
effectivement et efficacement la cohomologie à l'aide de variétés abéliennes. 
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2.3.2. Courbes et variétés abéliennes. — Généralisant des résultats de J. Pila }97j . 
L. Adleman et M.-D. Huang ont ainsi donné dans [3 un algorithme qui calcule 
le nombre de points d'une variété abélienne A de dimension g définie sur un corps 
fini Fg h q éléments, plongée dans l'espace projectif P^. Il convient de remarquer 
que ces algorithmes ne calculent pas les traces Ti {(p\Hl{A, F i)) individuellement, 
mais leur somme alternée, c'est-à-dire une congruence |A(Fq)| (mod £). Supposant 
que l'on dispose de polynômes homogènes Fi,...,Fs de degrés au plus T définis- 
sant l'idéal de A dans Fq[xQ, . . . ,xn], de formules pour l'addition de A données par 
des polynômes de degré D dans R cartes affines, la complexité de cet algorithme, 
(logq)'-''^^ (s+iogfl+iog-D))^ L'exposant de \ogq est énorme : si, pour simplifier, le plon- 
gement est donné par le cube d'une polarisation principale, on a iV -|- 1 = S^gl. 

Par ces techniques, il est aussi possible de calculer le polynôme caractéristique 
de l'endomorphisme de Frobenius tta agissant sur le module de Tate Ti{A) de A 
(pour £ distinct de la caractéristique de Fg). Pila procède par exemple en calculant, 
pour tout polynôme irréductible r g {Z/£Z)[t], de degré au plus 2dimA, et leurs 
puissances, le cardinal du noyau de l'endomorphisme r{ip) du groupe fini A[£]. Il 
en déduit le polynôme caractéristique de ip sur le i^^-espace vectoriel A[£], puis le 
polynôme caractéristique de ip via le théorème chinois, ayant choisi des valeurs de ^ ^ 
O(logg). 

Supposons donc que A soit la jacobienne d'une courbe C sur F^, supposée projec- 
tive, lisse et géométriquement intègre. D'après Weil [118J, on a l'égalité 

(2.20) |C(Fg)| =q + l-Tr(7r^). 

Comme on peut décrire effectivement une jacobienne, il existe donc un algorithme de 
complexité polynomiale en logq pour calculer le nombre de points d'une telle courbe 
sur un corps fini. D'après Pila, la complexité d'un tel algorithme est uniforme lorsque 
la courbe parcourt une famille algébrique, voir Si elle reste trop grande pour que 
cette méthode puisse être utilisée en pratique, le cas des courbes hyperelliptiques a 
fait l'objet d'améliorations importantes. 

Supposons que A soit la jacobienne d'une courbe hyperelliptique C qui est donnée 
par une équation sous la forme (affine) 

(2.21) y' = /(x), /eF,[x], deg/ = 25 + l. 

Toute classe de diviseur de degré sur C est alors représentée de manière unique 
par deux polynômes u et w vérifiant les conditions suivantes : 

(i) u est unitaire ; 

(ii) degv < degu g; 

(iii) u divise — /. 

L'idéal du diviseur dans la carte affine ci-dessus n'est autre que {u{x),y — v{x)). 
Cette représentation, rappelée dans [Hl] , est souvent appelée description de Mumford 
dans la littérature. Elle permet à Adleman et Huang de montrer l'existence d'un 
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algorithme pour calculer le cardinal de C(Fq) et de A{Fq) dont la complexité est 

(l0gg)0(9' l°g9). 

Bien que considérablement inférieure à celle des variétés abéliennes générales, cette 
complexité reste exponentielle en le genre, et ces méthodes sont impropres aux appli- 
cations cryptographiques. Voir toutefois l'article [5^ par Gaudry et Harley concer- 
nant les courbes de genre 2 : l'usage de l'analogue des polynômes de division intro- 
duits par D. Cantor (voir [20]) leur permit de calculer le nombre de points d'une 
telle courbe sur un corps fini dont le cardinal est de l'ordre de 10^''. 



2.4. Formes modulaires 

Revenons pour l'instant au cas des courbes elliptiques et supposons que E soit 
une courbe elliptique définie sur Q, donnée par une équation de Weierstrass p. 2p . 
011 a et 6 sont des entiers relatifs. Pour tout nombre premier p, on peut réduire 
l'équation modulo p et en déduire, tout au moins si p ne divise pas le discriminant 
Ae ~ — 4a'^ — 27b^, une courbe elliptique sur Fp ; écrivons son cardinal sous la forme 
p+l — ttp. Pour les quelques nombres premiers qui restent, on peut définir un entier «p 
analogue et définir la fonction L de Hasse-Weil de E par le produit eulérien et la série 
de Dirichlet 

oo 

(2.22) L{E,s)^ W (l-app-^+pi-2s)-i -Q ^■^^^^-s^ 

p premier v\^e n—1 

Ce produit et cette série convergent pour 3fî(s) > 3/2 ; d'après le théorème de Wiles 
et Taylor- Wiles, complété par 19J, ils possèdent un prolongement holomorphe à C 
et une équation fonctionnelle reliant L{E,s) à L{E,2 — s). Plus précisément, si Ne 
désigne le conducteur de E, la fonction holomorphe sur le demi-plan de Poincaré 
donnée par le développement de Fourier 

oo 

(2.23) /s(r) = ^a„9", q = e^'^^ , 

est une forme modulaire de poids 2 pour le sous-groupe de congruence Vq{Ne) 
de SL2(Z). L'algorithme de Schoof apparaît ainsi comme un algorithme de calcul 
des coeflîcients des formes modulaires de poids 2. 

Dans un article récent gî], Edixhoven, en collaboration avec COUVEIGNES, DE 
JONG, Merkl et BoSMAN, explique comment calculer les coefiicients de Fourier d'une 
forme modulaire de poids k ^ 2, niveau A'', parabolique et propre pour les opérateurs 
de Hecke. Leur approche n'est cependant entièrement menée au bout que pour la 
fonction A de Ramanujan, donnée par 

oo oo 

(2.24) A(r) = r,(r)24 = g [](1-0'' = E Q ^ ^'"^ ■ 

n=l n—1 
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(L'entier a„ est classiquement noté T{n).) Je me limite ici à une description rapide de 
quelques-unes des idées essentielles de ce long article. Soit donc / une forme modulaire 
sur ri(iV), propre pour les opérateurs de Hecke, normalisée, de développement de 
Fourier ^ flnç". 

a) Si / était une série d'Eisenstein, son coefficient a„ serait une somme explicite de 
puissances de diviseurs de n ; on ne sait pas évaluer une telle somme sans factoriser n, 
et l'on ne sait pas factoriser n en temps polynomial en logn. On se contentera donc 
des coefficients «p, pour p un nombre premier. 

b) D'après Deligne, voir p2j, il existe pour tout t une représentation de degré 2 
de Gal(Q/Q), à coefficients dans Z^, 

(2.25) p/,,: Gal(Q/Q) ^ GL2(Z^) 

telle que pour tout p ^ iN , Op soit la trace de pf{(pp), oii (pp est un élément de 
Frobenius (géométrique) en la place p. La construction géométrique de cette repré- 
sentation et la démonstration par Deligne des conjectures de Weil entraînent en 
outre la majoration 

(2.26) \ap\ < 2p('=-i)/2 

qu'avait conjecturée Ramanujan. 

La méthode de Schoof suggère donc de calculer la réduction modulo £, disons 
7)f^i, de cette représentation pour des valeurs de i au plus égale à O(logp). 

c) Lorsque k — 2, cette représentation ^ se réalise dans celle associée aux points 
de ^-torsion de la jacobienne Ji {N) de la courbe modulaire Xi (N). Dans le cas général, 
la construction de Deligne fait intervenir un groupe de cohomologie de degré k — 1 
d'un produit fibré (désingularisé) k — 2-fois de la « courbe elliptique universelle » sur 
Xi{N). Comme on l'a évoqué plus haut, il ne semble pas possible de décrire cette 
cohomologie explicitement. 

En revanche, des phénomènes de congruence entre formes modulaires entraînent 
que £ se réalise dans la représentation galoisienne associée aux points de f-torsion 
de la jacobienne Ji{N£). 

Comme le genre de Ji{N£) est de l'ordre de N'^i'^, il s'agit de détecter une sous- 
représentation de dimension 2 dans une représentation de très grande dimension. 
Autrement dit, de détecter les £^ — 1 points d'ordre £ de Ji{N£) correspondant à p^^^, 
le polynôme minimal d'un générateur de l'extension de Q engendrée par leurs coor- 
données et l'action du groupe de Galois Gal(Q/Q). 

d) Pour ce faire, Couveignes a suggéré de travailler dans C et de calculer une 
approximation de ce polynôme, en même temps qu'une borne pour sa hauteur. (Deux 
nombres rationnels distincts x = a/b et x' = a'/b' de hauteurs logmax(|a|, |6|) et 
logmax(|a'|, |6'|) au plus h diffèrent d'au moins e^^'^.) 
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Les bornes requises sur la hauteur sont obtenues en majorant certaines quantités 
concernant la théorie d'Arakelov des courbes modulaires Xi{£) : la hauteur de Fal- 
tings, certaines fonctions 9 et les fonctions de Green ; ces bornes sont polynomiales 
en £. 

e) Plutôt que calculer dans la jacobienne Ji{N£), les auteurs préfèrent utiliser le 
produit symétrique Xi{Ni)^^^ de la courbe modulaire, qui est muni d'une application 
naturelle birationnelle vers Ji{N£). Pour garantir que les points d'ordre £ intervenant 
dans Jifi ont un unique antécédent, la construction géométrique d'un diviseur ayant 
des propriétés spécifiques est nécessaire, si bien qu'à ce stade, les auteurs de [44j se 
cantonnent à la forme modulaire A de Ramanujan. Pour réaliser cette construction, ils 
réduisent modulo p, et l'utilisation d'un algorithme probabiliste leur est pour l'instant 
nécessaire. 

Tout ceci combiné, Edixhoven et al. démontrent qu'il existe un algorithme pro- 
babiliste de complexité polynomiale en £ calculant e, c'est-à-dire : 

a) un corps de nombres donné par sa table de multiplication, galoisien sur Q 
correspondant au noyau de la représentation 'pf £, 

b) des matrices correspondant aux éléments a du groupe Gal(iir^/Q) agissant Q- 
linéairement sur Kg, et 

c) les matrices P/^lf) G GL2(Ff) correspondantes. 

Ils en déduisent qu'il existe un algorithme probabiliste calculant le coefficient t{p) de 
la fonction de Ramanujan, algorithme dont la complexité est polynomiale en logp. 

3. MÉTHODES p-ADIQUES 

3.1. Application de la théorie de Dwork 

Comme je l'ai dit plus haut, la première démonstration de la rationalité de la fonc- 
tion zêta d'une variété algébrique définie sur un corps fini est due à DwORK |42j . 
A. Lauder et D. Wan ont observé [77l I116j que la démonstration de DwORK per- 
met un moyen de calcul effectif de la fonction zêta. Même si cette méthode s'avère 
moins efficace que celles qui ont été développées peu après, elle fournit un algorithme 
indépendant de la géométrie du système d'équations considéré. 

3.1.1. Calculabilité de la fonction zêta. — Soit F un corps fini, notons q son cardinal 
et p sa caractéristique. Considérons une variété algébrique affine X, lieu des zéros 
dans A" de m polynômes /i, . . . , /,„ G F[a;i, . . . , Xn] ; soit a le maximum des degrés 
des fi. L'espace nécessaire pour écrire ces polynômes est de l'ordre de m(a + 1)" logg. 
On cherche un algorithme efficace, pour calculer la fonction zêta de X. 

D'après DwORK, cette fonction zêta s'écrit comme le quotient P1/P2 de deux poly- 
nômes à coefficients entiers, premiers entre eux, de termes constants 1. Un théorème 
de BOMBIERI majore par A = (4a + 9)"+™ la somme des degrés de Pi et de P2 
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(prop. 4.2 et th. 1 de [TJ, appliqué à / = 1). Autrement dit, il existe des nombres 
entiers oi et a2 tels que 01+02 ^ A, des entiers algébriques ai, ... , , /3i, . . . , /3o2 
tels que pour tout entier fc ^ 1, 

ai 02 

(3.1) |X(F,.)I = -E"'+E'3'' 

la fonction zêta elle-même étant donnée par 

Par conséquent, pour calculer la fonction zêta de X, il suffit de calculer les cardinaux 
|X(Fçfc)| pour 1 ^ /c ^ d'en déduire les A+1 premiers termes du développement 

en série entière de Z{X,t) puis de calculer une approximante de Padé de cette série. 
En particulier, la fonction zêta est effectivement calculable. 

D'autre part, d'après Deligne [SB], les valeurs absolues des aj et (3j sont de la 
forme 9"^^, oii s est un entier compris entre et 2dimX (dépendant de j). En parti- 
culier, les coefficients de Pi et de P2 sont majorés par 2^q^^. L'espace nécessaire pour 
écrire la fonction zêta est donc 0{nA\ogq) = 0(n(4a -I- 9)"+™ logq), sensiblement du 
même ordre de grandeur que celui nécessaire au stockage des données. 

La question algorithmique qui se pose naturellement alors est la suivante : Est-il 
possible de calculer la fonction zêta en temps polynomial en cette taille ? Compte- 
tenu des bornes de Bombieri rappelées ci-dessus, cela revient à la question : Est-il 
possible de calculer le cardinal de X{Fgk) en temps polynomial en fc(a + 1)"+™ logg ? 

Pour les variétés de dimension zéro de la droite affine, définies par un polynôme 
/ S F[x], de degré a, l'algorithme de Berlekamp a la complexité voulue. Si / est 
sans racines multiples, le pgcd de / et — a; a pour degré le nombres de racines 
de / dans F^. On calcule bien siir ce pgcd par l'algorithme d'Euclide, en commençant 
par évaluer a;' dans l'algèbre F[a;]/(/) ce qui requiert en gros logg opérations dans 
cette algèbre; la suite de l'algorithme nécessite au plus a divisions euclidiennes de 
polynômes de degrés au plus a à coefficients dans F. 

Pour les courbes planes toutefois, les résultats du chapitre précédent faisaient ap- 
paraître une dépendance exponentielle en le genre... 

Si g = p'*, Lauder et Wan montrent que la réponse est oui si l'on se limite aux 
corps de caractéristique majorée. Ils déduisent de l'étude par DwORK de la fonction 
zêta d'une hypersurface une congruence modulo une puissance de p pour le nombre 
de points d'une hypersurface sur Fg, d'oîi sa valeur si l'exposant de la puissance 
dépasse dn. 

3.1.2. Une formule de congruence. — Nous allons nous borner au cas d'une hypersur- 
face de l'espace affine d'équation / = 0, où / e Fg[a;i, . . . , x„]. La méthode de DwORK 
est « torique » et commence en fait par étudier la fonction zêta de l'intersection X de 
cette hypersurface avec le tore G,n". Le reste s'étudie classiquement par récurrence. 



ASTÉRISQUE 



(968) COMPTER (RAPIDEMENT). 



23 



au moyen de la formule d'inclusion-exclusion, mais cela induit inexorablement des 
facteurs 2" dans la complexité des algorithmes à venir. 

La théorie des sommes de caractères fournit la formule 

(3.3) q\X{F,)\-iq-ir ^ Y. Xq{xofixu...,Xn)), 

OÙ Xq'- — > il* est un caractère additif non trivial de Fq , D, étant un corps de 
caractéristique zéro. 

Soit W l'anneau des vecteurs de Witt de F. C'est un anneau de valuation discrète, 
complet, de corps résiduel F et dont l'idéal maximal est engendré par p. Si F = 
Fp, W n'est autre que l'anneau Zp des entiers p-adiques ; si F est décrit sous la 
forme Fp[x]/{f), où f est un polynôme de degré d, W est isomorphe à l'anneau 
quotient Zp[a;]/(/), où f € Zp[a;] est un polynôme de degré d arbitraire dont la 
réduction modulo p est égale à /. 

Soit R l'anneau obtenu en adjoignant à W un élément vr tel que tt^^^ — —p. Notons 
il le corps des fractions de R. Sa valeur absolue | • | et sa valuation ord sont normalisées 
par \p\ = 1/pet ordp = 1. Soit d l'entier tel que q = p'^. Notons a; : F ^ ille caractère 
de Teichmiiller, prolongé par uj{Q) = 0. Pour tout x € F*, u}{x) est l'unique racine de 
l'unité d'ordre premier à p de VF qui est congrue à x modulo p ; c'est aussi la limite 
de la suite , oii Ç est un élément arbitraire de W qui est congru à x modulo p. 

Soit a l'unique automorphisme de K tel que (T(7r) = tt et est congru à l'automor- 
phisme de Frobenius modulo p ; notons r l'inverse de a. 

Si les coefficients de la série exponentielle sont |5-adiquement trop grands, ceux de 
la série 9 e ^[[z]] définie par 

(3.4) 0{z) = exp(7rz - ttz^) 

sont de valeurs absolues inférieures ou égales à 1 et tendent vers 0. Précisément, on a 

,n{p — 1) 2 s 



(3.5) ord^n^maxl 



p2 p — \ ' 



DwORK montre alors que l'on peut choisir pour caractère Xq dans la formule p.3p la 
fonction 



(3.6) xq{^) = e{i)^^-^'-^^'> = n eiu;{zf). 

i=0 

Soit F la série formelle en les indéterminées xq, ■ ■ ■ ,x„ définie par 



(3.7) Fix)^lleicjifj)x'), où xof{xu...,Xn)^J2f- 



jx'. 
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Les majorations (|3.5p des coefficients de la série et l'hypothèse que / est de degré a 
entraînent que les coefficients de F = ^ Fjx'^ vérifient 

\oïàFj ^ si jo» ^ ji H \- jn, 

[Fj — sinon. 



(3 



Notons L l'ensemble des séries formelles qui vérifient ces inégalités et A l'ensemble 
des monômes x"^ tels que joa ^ ji + ■ ■ ■ + jn- 

Soit tp l'« opérateur de Dwork » sur il[[xo, . . . , Xn]] donné par 

(3.9) V(^ ujx'') = ^M^'^- 

j J 

L'opérateur composé a de "0 et de la multiplication par F applique L dans lui-même. 
Soit A sa matrice (infinie) dans la « base » A. 

Le point crucial de la démonstration de DwORK est la nucléarité de l'opérateur 
linéaire a'^ qui se déduit de majorations explicites pour les coefficients de la matrice A, 
elles-mêmes déduites de ()3.8|) . En particulier, pour tout entier fc > 1, a'^'' possède une 
trace, d'ailleurs égale à la somme des coefficients diagonaux de sa matrice dans la 
base A, et l'on a 

(3.10) Tr(a'=)(ç'= - 1)"+^ = q''\X{Fg,)\ - [q^ - 1)". 

Comme l'ont remarqué Lauder et Wan (voir [77], th. 28), ces majorations entraînent 
aussi que si l'on « tronque » l'opérateur a en considérant sa restriction au sous- 
espace (stable) engendré par les monômes x"' de A tels que jo ^ v{p/{p — 1))^, on 
obtient une congruence (pour simplifier, on ne regarde désormais que le cas fc = 1) : 

(3.11) Tr(a.)(ç-l)"+i^ç|X(F,)|-(ç-l)" (mod p'') 

Soit Al, la matrice de l'application cr-linéaire ai, ; elle est de taille N = 0{{va + 1)"). 
Pour calculer TT:{a^) modulo , il suffit de réduire Ai, modulo p'^ , d'effectuer le 
produit A,jt{A^) . . .T°'~^{A,y) puis de calculer la trace de cette matrice modulo p" . 
Le produit de ces k matrices peut être effectué efficacement en adaptant l'algorithme 
d'exponentiation binaire; on n'a alors que 0(log/c) produits à faire. 

Cela fournit un algorithme pour calculer |X(Fq)| modulo p". Comme ^ 
|X(Fg)| < p'*", il suffit, pour en déduire la valeur de |X(rq)|, de choisir v = nd. 
La complexité de l'algorithme ainsi esquissé est 0(p^""'"^a^"n^""'"^d^"'"'"'') en temps, 
et Ô(pa2"n2"+3d2"+4) espace. 

3.2. Relèvement canonique et moyenne arithmético-géométrique 

Revenons au cas des courbes elliptiques. Soit E une courbe elliptique définie sur 
un corps ffiii F; notons q le cardinal de F, p sa caractéristique; soit d l'entier tel 
que q — p"^. Notons enfin W l'anneau des vecteurs de Witt de F et if son corps des 
fractions. 
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L'algorithme que nous décrivons ici permet, une fois encore, de calculer |i?(F)|. Il 
est dû à K. Satoh |103j . au moins lorsque p > 3. La présentation que nous suivons 
ici tient compte d'articles parus ultérieurement dans lequel p = 2 et 3 sont pris en 
compte ([49], [llOj . [104j et [114] ). ainsi que de sa variante, due à Mestre, fondée 
sur la moyenne arithmético-géométrique. 

3.2.1. Relèvements. — Soit S un relèvement de E, c'est-à-dire une courbe elliptique 
sur W dont la réduction modulo p est égale à E. Une telle courbe peut être obtenue en 
considérant une équation de Weierstrass p.ip ou ()2.2p à coefficients dans W dont la 
réduction modulo p est une équation de Weierstrass de E. Un endomorphisme ù de S" 
définit, par réduction modulo p, un endomorphisme de E, d'où un homomorphisme 
d'anneaux, injectif, de End((o') dans End(£^). 

Si S' est mal choisi, Fjnd{S') = Z. Toutefois, si E est ordinaire, c'est-à-dire que 
E possède un point d'ordre p, un théorème de Deuring [39 affirme qu'il existe 
un unique relèvement S' pour lequel l'homomorphisme End((o') — > End(i?) soit un 
isomorphisme ou, cela revient au même, le seul relèvement sur lequel l'endomorphisme 
de Frobenius tt^; de -E se relève en un endomorphisme tt^ de S". Comme le corps F 
est fini, ce relèvement coïncide avec celui fourni par la théorie, plus profonde, du 
relèvement canonique, cf. [H^ et, pour plus de détails, [86] , 

Comme les traces de ng dans End((?) et de tte dans End(£') sont égales, il suffit 
de calculer la première. Celle-ci se voit au niveau des formes différentielles : si lu est 
une forme différentielle invariante (non nulle) sur S", ttJo; est une forme différentielle 
invariante, donc est proportionnelle à u. Soit cg G W tel que ttJo; = cguj. Puisque 
l'isogénie duale tt^ de irg vérifie la relation 

(3.12) TT^ o TTg ^ qids, 

Cg ^ et (7r^)*ti; — qc'^^uj. La somme des endomorphismes irg et tt^ est la multiplica- 
tion par la trace de lïg, c'est aussi puisque l'homomorphisme 'E^d{S') End(£^) est 
un isomorphisme, la multiplication par la trace de t^e- Autrement dit, on a l'égalité 



Cette méthode n'est pas praticable telle quelle car tte est un endomorphisme de 
degré q, supposé très grand. L'idée de Satoh consiste, considérant la factorisation 
naturelle de tt^; en d isogénies de degré p, à relever ces isogénies et à calculer des 
constantes analogues Ci dont cg sera le produit. En fait, une telle factorisation est un 
point essentiel de la construction même de la courbe S , suivant la méthode décrite 
dans [83 . 

Soit a l'automorphisme de F donné par a; i— > ; comme q = p'*, on a cr'* = id. Si 
E est une courbe elliptique sur F, on notera E^"^ la courbe obtenue en appliquant 
l'automorphisme a à ses coefficients ; elle est liée à E par une isogénie Lp: E E°' de 



(3.13) 
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degré p qui correspond à l'élévation des coordonnées des points à la puissance p. On 
a ainsi une suite d'isogénies (de degré p) 

(3.14) £;(-) . . . ijC-") ^ ij. 

Notons encore a l'unique automorphisme de W dont la réduction modulo p est 
l'autoniorphisme cr de F ; on a aussi a'^ = id. À la suite de [53], Satoh propose de 
chercher S" de sorte que l'on ait encore une suite d'isogénies de degré p : 

(3.15) ^ ^(-) ^(-^) j^!^ . . . zi:!:^ ^(-^) ^ ^. 

En effet, étant donnée une telle courbe (o, l'endomorphisme composé tp^'^ ) o • • • o 
(^('^) o (f relève l'endomorphisme tte de E, si bien que S' est le relèvement canonique 
de E. Autrement dit, on va chercher un relèvement S" de E tel que le couple ((f,(f('")) 
soit un point de la courbe modulaire Xo{p). 

3.2.2. Résolution de l'équation modulaire. — Le polynôme modulaire $p, équation 
de la courbe Xo{p) dans xP^, vérifie une congruence modulo p, due à Kronecker : 

(3.16) <i>p{X,Y) = {XP-Y){YP-X) (modp). 

Lorsque l'invariant js de la courbe E n'appartient pas au corps Fp2 , l'équation « ses- 
quipolynomiale » $p(j, (t(j)), oii l'inconnue j appartient à l'ensemble des éléments 
de W dont la réduction est l'invariant js, est alors justiciable d'une variante de la 
méthode de Newton, d'où une construction du relèvement canonique de la courbe E 
dans ce cas. À chaque itération, l'équation linéarisée est de la forme, dite équation 
d'Artin-Schreier : 

(3.17) aa{x)+bx = c. 

Toutefois, le calcul effectif de a est délicat. Les algorithmes efficaces de Lercier, 
LUBICZ puis Harley pour les résoudre leur ont permis d'implémenter effectivement 
cette approche (voir [5TJ [HI] et le chapitre 12 de [2S]). Quant à Satoh, il procéda 
un peu différemment en prenant pour inconnue, non pas seulement la courbe (o, 
mais toutes les courbes (oi = S'^'^ ^ simultanément. Les d invariants ji — pour 
^ i ^ d — 1, sont liés par le système d'équations polynomiales 

(3.18) *p(jo,il) = $p(jl, j2) = • • • = $p(j<i-2,id-l) = %{jd-ujo) 

dont une résolution par la méthode de Newton classique est possible. 

3.2.3. Itération de quotients. — Avec les notations précédentes, les courbes fSo et Si 
sont liées par une isogénie ^p: iSç, ^ Si dont la réduction modulo p, le frobenius relatif, 
est une isogénie inséparable. Soit ip: Sq Si un relèvement arbitraire de (p: E 
E^'^\ Le sous-schéma de p-torsion, Sq[p], possède un sous-groupe de rang p connexe 
canonique, Gq, le quotient Sq[p]/Go étant un M^-schémaen groupes étale. (Localement 
pour la topologie étale, Gq est isomorphe au schéma en groupes /Xp.) De plus. Si est 
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isomorphe à Sq/Gq et ip s'identifie à l'isogénie Sq — > Sq/Gq. Ainsi, Si est déterminée 
par Sq. 

Cette analyse faite, choisissons une courbe eUiptique arbitraire Sq relevant E, soit 
Go le plus grand sous-schéma en groupes connexe de Sq [p] , soit Si le quotient de Sq 
par Go et soit ipQ: Sq Si l'isogénie canonique. La courbe elliptique Si relève la 
courbe ordinaire E'^'^\ Itérons le procédé. On en déduit une suite (<?„) de courbes 
elliptiques liées par des isogénies de degré p, tpi: S^ ^ Sn+i, dont le noyau, G„, est 
le plus grand sous-schéma en groupes connexe de S^ [p] . 

Comme l'application x t—^ est p-adiquement contractante, les sous-suites (Sdn+j) 
sont convergentes dans la courbe modulaire. En particulier, les courbes Sdn convergent 
vers le relèvement canonique de E lorsque n — > cx). 

Une façon de le démontrer consisterait à utiliser le schéma formel des relèvements 
de la courbe E (fHSl[H3)i lequel s'identifie au schéma formel des relèvements de son 
groupe p-divisible. La théorie des coordonnées canoniques (qui s'appellent q d'or- 
dinaire, mais que je noterai z ici) montre en effet qu'il est isomorphe au groupe 
multiplicatif formel sur W ; l'élément neutre correspond au relèvement canonique de 
la courbe E. Par ailleurs, les isogénies que nous considérons (ou plutôt les compo- 
sées de d isogénies successives) ont pour effet d'élever à la puissance q la coordonnée 
canonique z essentiellement parce que l'élévation à la puissance q dans le groupe mul- 
tiplicatif formel a pour noyau le schéma en groupes Hq. Comme I2; — 1| < 1, l'itération 
de l'application z 1— > z'^ fournit une suite qui converge vers 1. On observe que la 
convergence n'est que linéaire. 

Cette construction se généralise ainsi mutatis mutandis au cas des variétés abé- 
liennes ordinaires (voir aussi le chapitre 2 de [21 ). Citons aussi l'article [73] qui 
propose des variantes de ces algorithmes où la courbe modulaire correspondant à l'in- 
variant j est remplacée par la courbe Xq{N), surtout lorsque celle-ci est de genre 0. 

Dans le cas des courbes elliptiques, son intérêt fut mis en évidence dans l'ar- 
ticle |114j de Vercauteren, Preenel et Vandewalle, parce que sa considération 
améliore la complexité en espace de l'algorithme de Satoh. Toutefois, dans cet article, 
l'invariant jn+i est calculé en appliquant une itération de l'algorithme de Newton à 
l'équation modulaire ^p{j,jn) — 0, l'inconnue étant j, le tout étant écrit à l'envers, 
car ces auteurs raisonnent, ainsi que Satoh, sur l'isogénie de Verschiebung. 

3.2.4- Fin de l'algorithme. — Pour calculer explicitement sous forme d'une équation 
de Weierstrass (|2.ip ces courbes Sn et les isogénies on peut utiliser les formules 
de VÉLU [m], voir aussi [2T], th. 3.3.1. 

Supposons donc la courbe S et l'isogénie ip explicitées et montrons comment termi- 
ner le calcul du cardinal de E{F). Soit oj une base du T4^-module des formes différen- 
tielles invariantes sur S. Il existe un unique élément c G T4^ tel que tp*uj^"''^ — cuj, et les 
formules de VÉLU permettent d'ailleurs de le calculer aisément. Pour i G {0, . . . , d—1}, 
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est la norme de c dans l'extension Qp C K. 

Si l'on ne connaît qu'une valeur approchée de c, disons niodulo p^, on en déduit une 
valeur de cg modulo , donc, via la formule (j3.13|) . la valeur de Ie modulo p^^'^, 
la perte de précision étant due au fait que c = (modp). C'est pour pallier cet 
inconvénient que Satoh utilise l'isogénie duale ^, dite Verschiebung ; comme E est 
ordinaire, ip est séparable et la constante analogue c qui intervient dans le calcul de 
la trace est une unité de W. 

Une fois calculé ts modulo p^ , l'inégalité de Hasse \tE\ ^ 2y/ç permet d'en dé- 
duire Ie si p^ > 4y/9, c'est-à-dire si > |, voire | -I- 2 si p = 2. 

Décrivons rapidement la complexité de l'algorithme obtenu. Comme il faut calcu- 
ler c modulo p^ , où N ^ 0{d), et que la précision augmente de 1 à chaque itération, 
le nombre d'itérations à effectuer est 0{d). Par ailleurs, la taille des objets à manipu- 
ler, des éléments de {Z/p^Z)[x]/{f{x)) dont la multiplication nécessite 0{Nd\ogp) 
opérations, d'oij une complexité de 0{d^ \ogp) opérations pour calculer c. Comme 



l'a remarqué Harley ^61], les techniques efficaces pour calculer les résultants per- 




la complexité de l'algorithme de calcul de |i?(F)| suivant la méthode de Satoh est 
0{d^ \ogp). Suite à |114j . la complexité en espace est du même ordre. 

Il convient de remarquer qu'elle n'est polynomiale en log q que si la caractéristique p 
du corps est fixe. Toutefois, pour les applications cryptographiques, on choisit souvent 
p = 2 et l'algorithme ainsi obtenu est très efficace. En 2002, Fouquet, Gaudry 
et Harley ont ainsi pu calculer le nombre de points d'une courbe elliptique sur un 
corps fini de cardinal 2® en environ 300 h de calcul ; le stockage des données a 
nécessité plus de 15 Go (voir [49]) ! 

3.2.5. Moyenne arithmético-géométrique. — La moyenne arithmético-géométrique 
M(a, b) de deux nombres réels, disons strictement positifs, a et b, est la limite commune 
des deux suites (a„) et (6„) définies par les relations de récurrence 

(3.20) a„+i = °" ^ ^" , bn+i \/a„&„, 

et l'initialisation «o ~ a, bo ~ b. Ainsi que l'a découvert C.-F. Gauss en 1799, elle est 
reliée aux intégrales elliptiques par les formules 



(changement de variables x ^ b^ tan^ t) et permettent donc de calculer très rapidement 
les périodes de la courbe elliptique d'équation 




mettent de calculer la norme de c modulo 



p^ en 0{Nd\ogp) opérations. Par suite. 



(3.21) 




(3.22) 



y2 = 2,(2; _|_ Q,2)^^ ^2y 
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(L'autre période est obtenue en considérant la courbe tordue, d'équation — x{x — 
a^){x — 6^), et fait intervenir M(a + 6, a ~ b).) La raison d'être de la formule (|3.21|) 
est l'existence d'une isogénie de degré 2 entre la courbe elliptique précédente et celle 
d'équation 

(3.23) + 

Cette isogénie fournit un changement de variables dans l'intégrale elliptique qui ra- 
mène à une intégrale similaire où a et 6 sont remplacés par ai et bi. Les suites (a») 
et (6„) apparaissent ainsi comme un procédé simple pour calculer une suite d'isogé- 
nies de degré 2 particulières, en l'occurrence la seule fournissant une suite de courbes 
elliptiques dont les points d'ordre 2 sont tous définis sur R. 

En 2000, J.-F. Mestre, voir [87], avait montré comment une variante 2-adique 
de la moyenne arithmético-géométrique permet de calculer efficacement relèvement 
canonique et nombre de points lorsque p — 2. L'algorithme AGM qui en résulte est 
essentiellement équivalent (mais antérieur !) à la modification par Vercauteren |114j 
de celui de Satoh ; son implémentation est cependant très aisée et son exécution 
plus rapide. Gaudry, Harley, Lercier, Lubicz le mirent en œuvre fin 2002 dans 
des corps de très grand degré, le record semblant être détenu par Harley qui a 
pu calculer un tel cardinal |£^(Fq)|, pour q = 2^'^'''^^*'. (Un tel corps possède une 
base normale engendrée par une somme de Gauss, ce qui permet d'accélérer très 
notablement certains algorithmes.) 

Profitons-en pour donner des formules. 

Dans la suite, nous raisonnerons en fait sur la quantité Ç = a/b, dont le carré est 
l'invariant de Legendre de la courbe elliptique en question. 

Dans ce paragraphe, supposons que p = 2 et que q = p"^, pour d ^ 1. Soit E une 
courbe elliptique ordinaire sur Fg, donnée par une équation 

(3.24) +xy^x^ +c 

oîi c G F* est l'inverse de l'invariant j. (Ces courbes sont celles dont la 4-torsion est 
définie sur Fg ; on s'y ramène par une torsion quadratique.) Comme dans le cas com- 
plexe, le calcul de la moyenne arithmético-géométrique nécessite un choix de racines 
carrées ; pour tout t G W tel que t = 1 (mod 8), on note \/t l'unique élément de W 
congru à 1 modulo 4. 

Soit Ç4 un élément de W tel que Ç4 = 1 -I- 8c (mod 16). On définit alors une suite 
iCn) par récurrence en posant, pour n ^ 4, 

(3.25) C„+i = i±^. 

Pour < z < d, la suite {^dn+i) converge vers un élément Ç* dont le carré est l'invariant 
de Legendre de la courbe S'i = S''-'^ \ S désignant le relèvement canonique de E. En 
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outre, si l'on pose 

(3.26) /i„ = " et tn = fJ,nCr{fin) ■ ■ ■ <j'^~^ {^n) = ^A'/QaCM»), 

J- I sn 

on a pour tout entier n la congruence 

(3.27) <z + l-|S(F)| =Tr(^iî) = t„ + ^ (mod 2"), 

d'oii le calcul de |i?(F)| dès que 2" > 4y/g, c'est-à-dire n > \d + 2. 

3.2.6. Généralisation aux courbes de genre supérieur. — En 1836, Richelot a dé- 
montré l'existence d'un algorithme permettant de calculer les « intégrales hyperellip- 
tiques de genre 2 », généralisant ainsi la formule ()3.2ip . Comme dans le cas elliptique, 
ce théorème s'interprète en termes d'isogénies de surfaces abéliennes, voir jT7]. Dans 
sa lettre [87], Mestre proposait d'utiliser ces relations de récurrence dans le cas 2- 
adique pour calculer le nombre de points d'une courbe de genre 2 définie sur un corps 
fini de caractéristique 2. 

Dans [88], il reprend ce sujet en genre supérieur à l'aide des formules de duplication 
des fonctions 9. Elles permettent de calculer par un procédé itératif (convergeant ver 
la moyenne de Borchardt) un déterminant 2x2 formé à l'aide des périodes réelles 
d'une courbe hyperelliptique de genre 2 définie sur R dont les points de Weierstrass 
sont réels ; l'initialisation de l'algorithme utilise les formules de Thomae (voir par 
exemple chap. 3A, §8). 

Mestre montre que cet algorithme est d'une grande utilité pour calculer le nombre 
de points d'une courbe hyperelliptique ordinaire sur un corps fini. Précisément, étant 
donnée une courbe C de genre 2 sur un corps fini F g, de caractéristique 2, cet al- 
gorithme, convenablement interprété dans l'anneau W des vecteurs de Witt, permet 
de calculer le relèvement de C sur W dont la jacobienne J<^ est le relèvement ca- 
nonique de celle. Je, de C. En outre, il fournit le déterminant de l'endomorphisme 
relevant celui de Verschiebung tpq agissant sur le ly-module des formes différentielles 
globales de Autrement dit, des quatre valeurs propres du frobenius tti, . . . ,7r4 on 
peut déterminer le produit 7ri7r2 des deux qui sont inversibles modulo 2. 

Cette dernière partie de l'algorithme, à savoir l'obtention du produit a — tti . . .iTg 
des valeurs propres tti, . . . , TT2g qui sont des unités 2-adiques, se généralise aux courbes 
hyperelliptiques ordinaires de tout genre g. Elle a en outre été étendue aux courbes de 
genre 3 non hyperelliptiques par Ritzenthaler |102| ; au lieu des points de Weiers- 
trass qui apparaissent dans les formules de Thomae, il fait usage des bitangentes. 
Par contre, l'algorithme ne calcule pas le relèvement canonique de la jacobienne, pour 
la bonne raison que ce n'est pas forcément une jacobienne si g ^ 



'^'Pour être précis, ce résultat n'est prouvé dans |41) que sous l'hypothèse que la caractéristique du 
corps est différente de 2... 



ASTÉRISQUE 



(968) COMPTER (RAPIDEMENT). 



31 



Une fois obtenu a, il n'est pas toujours possible d'en déduire les tt^, au moins 
lorsque g ^ 4. Mestre donne par exemple un exemple de variétés abéliennes de 
dimension 4 sur F2, ordinaires, non géométriquement isogènes et dont les invariants a 
sont égaux. Posons toutefois (3 = a + q^a~^ et considérons, à la suite de Mestre, 
le polynôme minimal P de (3 sur Z (calculé par exemple à l'aide d'une version 2- 
adique de l'algorithme LLL). Si P est de degré 2^~^, ce qui arrive si par exemple la 
jacobienne Je de C est simple, les racines de P sont les éléments 

Cela permet de déterminer les tt^ au signe près, d'oii le cardinal de Jc^q) à une 
ambiguïté finie près. A l'opposé, si P est degré 1, c'est-à-dire si /3 G Z, alors Je est 
géométriquement isogène à une puissance d'une courbe elliptique. Ces deux remarques 
permettent de démêler la situation lorsque g = 2 ou 3. 

En genre 2, l'algorithme a été étudié et implémenté par Lercier et LuBiCZ 82J ; 
sa complexité est O(n^), tant en espace qu'en temps. Il leur a permis de calculer en 
quelques jours le cardinal de courbes de genre 2 sur un corps à 2'^^^''° éléments, et de 
genre 3 sur un corps à 2"*^°^* éléments. En genre 3, cette méthode a permis à Ritzen- 
THALER (voir |102l ) de calculer en deux semaines le nombre de points rationnels d'une 
courbe quartique plane (une courbe non hyperelliptique de genre 3) sur un corps de 
cardinal 2^^^"^ . 

Très récemment, Carls et LuBiCZ ont annoncé dans [23j l'existence d'un algo- 
rithme (quasi-quadratique en l'exposant de la caractéristique du corps) permettant 
de calculer le nombre de points d'une courbe hyperelliptique ordinaire, généralisant 
ainsi en toute caractéristique les algorithmes de Satoh et Mestre. Cet algorithme 
est fondé sur l'existence, due à Carls [22], de structures thêta canoniques sur le 
relèvement canonique d'une variété abélienne ordinaire. 

3.3. Cohomologie de Monsky Washnitzer 

En 2001, K. Kedlaya [70 a proposé un algorithme calculant le nombre de points 
de courbes hyperelliptiques. Le rôle principal n'est plus tenu par la jacobienne de la 
courbe, comme dans les algorithmes précédents, mais par sa cohomologie de Monsky- 
Washnitzer dont Kedlaya montre qu'elle peut être calculée efficacement, au moins 
si la caractéristique du corps est petite. 

Soit F un corps fini, de caractéristique p, de cardinal q. Soit W l'anneau des 
vecteurs de Witt de F et soit K son corps des fractions. Notons tr l'automorphisme 
de Frobenius sur F, son relèvement à et son extension à i^T ; si g = p'', on a cr'^ = id. 

3.3.1. Définition de la cohomologie de Monsky-Washnitzer. — Rappelons ce dont il 
s'agit, en renvoyant à [Ml [9l [H IlOll [5ÏÏ1 [78] pour plus de détails. Considérons une 
variété algébrique affine et lisse X définie sur F. Le but est de définir une sorte de 
cohomologie de De Rham de X munie d'un endomorphisme de Frobenius induit par 
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celui de X, de sorte à ce que la fonction zêta de X se calcule par une formule de 
Lefschetz. Le premier pas consiste à relever X en caractéristique 0. 

D'après un théorème d'ELKiK [46], il existe un M^-schéma affine et lisse ^ dont 
la réduction modulo p est égale à X . Soit 3!^ ^ une immersion fermée de 
dans l'espace affine sur W, et soit /i,...,/,„ g W[xi, . . . ,Xn] des générateurs de 
l'idéal de -S^ . Si A désigne l'algèbre W[xi,. . . , x^j (/i, . . . , /„) de !X , on a donc un 
isomorphisme entre AjpA et l'anneau A des fonctions de X. 

Notons le complexe de De Rham de A ; le A-module i^^/iy est engendré 

par des éléments da;i, . . . , da:„, liés par les relations d/j — X]"=i fé^^Xi — ; enfin, 

^A/w ~ A*^ ^A/i^' cohomologie de ce complexe est assez pathologique, même si 
!^ est la droite affine ; en revanche, après tensorisation par on obtient d'après un 
théorème de Grothendieck [S^ la cohomologie de De Rham de JT^. 

Toutefois, l'endomorphisme (semi-linéaire) de Frobenius de A, (/? i-^ a: i-^ x^ , n'a en 
général pas de relèvement à A ; dans le cas des courbes elliptiques ordinaires, il aurait 
fallu avoir choisi précisément le relèvement canonique. 

Introduisons alors la W^-algèbre Vl^[a;i, . . . , a;„]^ des séries formelles / = ^ma^™ € 
W^[[a;i, . . . , a;„]] qui convergent dans un polydisque de rayon > 1, autrement dit, dont 
les coefficients Om vérifient une inégalité de la forme \am\ ^ Cp'™', avec p < 1. 
Par définition, l'espace-dague A^, dit encore complété faible, de l'algèbre A est le 
quotient de l'algèbre W^[a;i, . . . , Xn]'' par l'idéal engendré par les polynômes fi. C'est 
un relèvement de l'anneau de X, au sens oii A^ /pA'^ ~ yl. A isomorphisme près, 
il ne dépend que de la réduction modulo p de l'algèbre A, c'est-à-dire que de X. 
L'introduction de A^ permet en outre l'existence d'un relèvement semi-linéaire, noté ip, 
de l'endomorphisme de Frobenius de A k A^ . 

Le complexe de De Rham de l'algèbre A^ est le complexe des formes diffé- 

rentielles surconvergentes, donné par 

fc 

^Ayw = ^A/w '^A A\ ri^t/vK = a ^^VlV' 

avec la différentielle évidente ; c'est un relèvement du complexe de De Rham de X. 
La cohomologie de Monsky-Washnitzer de X est alors définie par 

(3.28) Hl^^{X/K) = Win\y^)(g>wK. 

L'action de l'endomorphisme (p de A^ induit un endomorphisme semi-linéaire bijectif 
de Hl^y^f{X/K), c'est-à-dire que l'on a 

(3.29) Lp{auj) = (j(a)ip{uj), pour a e K, lu e Hl^,j^{X/K), 

Même si ce n'est pas évident sur leur définition, ces X-espaces vectoriels, de même 
que l'action de ip, ne dépendent que de X , et sont fonctoriels en X (la tensorisation 
par K est nécessaire à ce point). 
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Ils sont nuls pour i < ou i > dimX, de dimension finie (résultat dû indépendam- 
ment à Berthelot [11^, Kedlaya [TT] et Mebkhout [85]) et donnent lieu à une 
formule des traces de Lefschetz : 

dimX 

(3.30) \X{F)\ = Y. (-l)''Z'*""''Tr(g'i'-^i^^i|iï^wW^)), 

i=0 

où Fx = '^'^ est aussi induit par l'endomorphisme de Frobenius de X, donné par 
l'élévation à la puissance q sur le faisceau ûx- 

La définition a été étendue par P. Berthelot au cas des variétés algébriques 
générales sur F, mais nous ne considérerons ici que celui de variétés lisses. Les espaces 
de cohomologie rigide Hl^J^X/K) qu'il définit fonctoriellement sont des if-espaces 
vectoriels, munis d'un endomorphisme semi-linéaire bijectif « de Frobenius » (p (un 
(j-isocristal) . Ils sont nuls pour î < ou î > 2dimX, de dimension finie, et donnent 
lieu à une formule des traces analogue à la précédente, si ce n'est que la somme va 
de i = à i = 2dimX. 

L'apparition de dans la formule (|3.30|) rappelle qu'il s'agit de coho- 

mologie sans support ; Berthelot a aussi défini une cohomologie rigide à supports 
compacts, reliée dans le cas lisse à la cohomologie rigide par une dualité de Poin- 
caré pTO] . 

Lorsque X est affine et lisse, ses espaces de cohomologie rigide coïncident avec ceux 
définis par Monsky et Washnitzer. Par ailleurs, lorsque X est propre et lisse, sa 
cohomologie cristalline 7î*j.ig(X/W) définit un W^-réseau de H^^^{X/K), stable par (p. 
Lorsque, de plus, X est la réduction modulo p d'un W^-schéma propre et lisse 
iî*j.;g(X/VF) s'identifie à la cohomologie de De Rham de définie comme l'hyper- 
cohomologie du complexe de De Rham ^*^. 

Plus généralement, soit ,2^* un VF-schéma propre et lisse, soit un diviseur de 
Cartier relatif de ^* lisse sur W (voire à croisements normaux stricts) et supposons 
que ^ 3^*\W. Notons X* , F, X les réductions de X* , ^ et SC . Par un théo- 
rème de Baldassarri et Chiarellotto [7 , la cohomologie de De Rham algébrique 
^dui'^K / K) et la cohomologie rigide Hl^^{X/K) sont des if-espaces vectoriels iso- 
morphes (voir aussi ^26\ où il est montré que l'isomorphisme construit précédemment 
est compatible aux poids). Si, de plus, ^ est affine, d'anneau A, sa cohomologie rigide 
Hl^^{X/K) — Hl^y^f{X/K), définie comme la cohomologie du complexe f^^t/w ^ 
est donc égale à la cohomologie du complexe (8) K. En outre, d'après un théo- 

rème de Atiyah et Hodge ( 65J, voir aussi [SU [33]), on a alors un isomorphisme 
entre la cohomologie de De Rham de à pôles logarithmiques le long de et la 
cohomologie de De Rham de ■ 

(3.31) W^j^{{^*,^))(E>wKc^H'^^{^(g>wK), 

d'oii un moyen concret, ne faisant intervenir qu'un complexe de if-espaces vectoriels 
de dimensions finies, pour calculer la cohomologie rigide de X. 
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Sous ces hypothèses, la cohomologie log-cristaUine du couple (X*, Y) et la cohomo- 
logie de De Rham à pôles logarithmiques H\^{{J^* , '3^)) sont des PF-modules canoni- 
quement isomorphes. Ils définissent un VF-réseau de la cohomologie rigide Hp^^{X/K), 
|108j . munissant ainsi la cohomologie rigide d'une structure entière naturelle, stable 
par le frobenius ; cela peut être utile pour les calculs effectifs. Dans la suite, nous 
qualifierons cette situation géométrique de « bien relevée ». 

La cohomologie cristalline des variétés propres et lisses sur F est une cohomologie 
de Weil. D'après [SH]) les espaces de cohomologie cristalline d'une telle variété X 
ont même dimension que les espaces correspondants en cohomologie ^-adique (pour 
£ ^ p) et le polynôme caractéristique de Fx agissant sur H^j.-^{X /W) K est le même 
(avec les notations du paragraphe 12. 3. ip que celui de (p agissant sur Hl{X,Qe). En 
particulier, Ti{Fx\H^ig{X / K)) est un entier et il vérifie la majoration 

(3.32) \Tt{Fx\H:,^{X/K))\ ^ q'^^dimKH:,^{X/K). 

D'après [25j . cette majoration vaut encore (de même bien sûr que sa grande cousine 
£-adique, établie par Deligne [36]) lorsque X est seulement supposé lisse sur F. 

3.3.2. Principe de l'algorithme de Kedlaya. — Soit X une variété algébrique définie 
sur F. Pour calculer le cardinal de X{F), Kedlaya suggère de calculer les polynômes 
caractéristiques du frobenius agissant sur la cohomologie rigide de X et d'en déduire 
|X(F)| par la formule des traces de Lefschetz. 

Supposons que l'on soit dans une situation géométrique bien relevée et que ^ soit 
un sous-schéma fermé de l'espace affine de dimension n, donné par des générateurs 
(/i, . . . , fm) de son idéal dans W^[a;i, . . . , a;„]. Notons A l'anneau de et son 
complété faible. L'algorithme de Kedlaya est le suivant. 

a) Calculer le relèvement ip du frobenius sur c'est-à-dire donner un algorithme 
pour calculer l'image d'un élément donné à une précision p-adique arbitraire. Compte 
tenu de la condition de surconvergence imposée aux séries, un tel algorithme ne ma- 
nipule que des polynômes ; 

b) Calculer des formes différentielles sur dont les classes forment une base de 
la cohomologie de De Rham de (il est judicieux, mais pas nécessaire, de choisir 
des formes différentielles entières, au sens où leur classe de cohomologie appartient à 
la cohomologie log-cristalline) ; 

c) La cohomologie de Monsky-Washnitzer de X est celle du complexe fi^^y^ (g) K 
des formes différentielles surconvergentes, mais les classes des formes différentielles 
algébriques précédemment calculées en forment une base ; Donner un algorithme « de 
réduction » calculant à une précision p-adique arbitraire la classe de cohomologie d'une 
forme fermée surconvergente (connue à une précision suffisante) ; 

d) En déduire une approximation p-adique de la matrice M de l'endomorphisme 
semi- linéaire ip de H^^^{X/K), pour ^ fc ^ dimX. Le point délicat est que la 
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primitive d'une forme exacte à coefRcients entière peut faire apparaître des déno- 
minateurs (exemple : a;^~^dx), si bien que la structure entière de fi^^ n'induit pas 
sur H^Yf{X/K) sa structure entière donnée par la cohomologie cristalline (lemme 2 
de [70], voir aussi le th. 2.2.5 de [I] pour un énoncé général) ; 

e) En déduire une approximation p-adique de la matrice Ma{M) ■ ■ ■a''-^^{M), de 
l'endomorphisme i^-linéaire Fx = ^p'^ de H^-^{XlK), puis de sa trace; 

f) Compte tenu de l'inégalité p.32p . on peut en déduire la trace elle-même, puis 
éventuellement |X(F)|, si la précision atteinte à l'étape précédente est suffisante. 

3.3.3. Le cas des courbes hyperelliptiques. — La méthode que nous venons d'esquisser 
est susceptible de s'appliquer dans des situations très générales, mais une présentation 
détaillée ne semble disponible dans la littérature que pour les courbes et le complé- 
mentaire d'une hypersurface de P"^. Nous considérons ci-dessous le cas des courbes 
hyperelliptiques qui faisait l'objet de l'article initial de Kedlaya [TD] lorsque p > 2 
et que Denef et Vercauteren [35] ont étendu au cas p = 2 ; voir aussi |113lli5] . 

Soit X* une courbe hyperelliptique définie sur F. C'est un revêtement double de la 
droite projective ; les points de ramification de ce revêtement sont appelés points de 
Weierstrass ; notons w leur nombre. Si p 7^ 2, on a w = 2(7 -|- 2, mais si p = 2, toute 
valeur de w telle que 1 ^ w ^ 5 + 1 est possible. 

Soit Y l'ensemble des points de Weierstrass et posons X = X* \ Y. De la cohomo- 
logie rigide de X, X*, Y, on sait un certain nombre de choses 

- on a H^^g{X/K) ~ H^^g{X* / K) = K, les endomorphismes de Frobenius étant 
donnés par a ; 

- l'espace H^^^{Y/K) est la somme des espaces H^-^{P/K), où P parcourt les points 
de y; en outre, si P est de degré d sur F, H^^^{P/K) s'identifie à l'extension non 
ramifiée de degré d de K munie de son endomorphisme de Frobenius ; 

- on a H'^^^{X* / K) = if et le frobenius est donné par pu. 

De la suite exacte de localisation pour la cohomologie rigide à supports compacts et 
de la dualité de Poincaré, on déduit alors une suite exacte 

(3.33) ^ Hl,^{X*lK) ^ Hl,^{XlK) ^ H^^,^{Y / K){^1) ^ HI^{X* / K) ^ 0. 

En outre, les morphismes de cette suite exacte commutent aux frobenius, le (— 1) 
au milieu de cette formule signifiant que le frobenius de H^-^^{Y/K) est multiplié 
par p. Par ailleurs, l'involution hyperelliptique e agit sur ces espaces de cohomologie 
et les découpe en une partie paire et une partie impaire, notées respectivement d'un 
symbole -I- et —, donnant lieu à une suite exacte 

(3.34) ^ Hl,^{X/K)+ ^ H^,^{Y/K){-1) ^ HI^{X*/K) ^ 
(car H^i^{X*/K)+ ~ H}^^(P^/K) = 0) et un isomorphisme 

(3.35) H^,^{X*/K)- H\^{XIK). 
Il s'agit donc de calculer H^- {X/K)~ . 
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Les références ci-dessus ne traitent en fait que le cas oii l'un des points de Weiers- 
trass est rationnel. Dans ce cas, la courbe X* possède une équation plane de la forme 
(affine) 

(3.36a) y^^f{x), /GF[x], deg(/) = 2g + 1 

si p 7^ 2 ; lorsque p — 2, elle a une équation du type 

(3.36b) + fix)y = g{x), deg(/) < g, deg(g) = 2g + l. 

Avec ces équations, l'involution hyperelliptique est donnée par (x, y) i— > (x, —y), resp. 
(a;, y) i-^ (x, —f{x) — y); la, projection vers est donnée par l'application (x, y) i-^ x; 
elle applique le point de Weierstrass choisi sur le point à l'infini de P'^. Les autres 
points de Weierstrass sont ceux de coordonnées {x,y) tels que f{x) = 0. Lorsque 
p =/= 2, ce sont ceux d'ordonnée nulle ; lorsque p = 2, l'application d'une transformation 
convenable de la forme (x, y) i— > (x, y + «(x)) permet de supposer que g s'annule en 
chacun de ces points ; leur ordonnée est encore nulle. Soit h le produit des facteurs 
irréductibles de / ; le diviseur de h est étale sur F et, au point à l'infini près, a pour 
support les points de Weierstrass de X*. 

Soit B l'anneau F[x,h{x)~^] ; l'anneau A de la courbe affine X est un B-module 
libre de rang 2, de base (1, y), y vérifiant l'équation (|3.36a|) si p 7^ 2, resp. (j3.36b| si 
p = 2. En particulier, A est étale sur B. 

Lorsque p 2, choisissons un relèvement f de f dans l'anneau W[x] de même degré 
que / et posons h — f. L'équation analogue à ()3.36ap définit une courbe hyperellip- 
tique ^* de genre g qui relève la courbe X* ; le schéma 3^ des points de Weierstrass 
de ^* est étale sur W et la W^-courbe affine ^ = ^* \iV relève X. Notons B 
l'anneau W[x, f{x)~^] ; l'anneau A de ^ est égal à B[y]/{y'^ — f) et est étale sur B. 

Lorsque p = 2, le diviseur des points de Weierstrass d'une courbe ^* qui relève X* 
n'est jamais étale sur W ; il convient alors de choisir un point de Weierstrass par classe 
résiduelle. De manière précise, Denef et Vercauteren commencent par relever h 
en un polynôme h de même degré puis exigent que chaque facteur irréductible de h 
divise / et g avec la même multiplicité que celle dont le facteur irréductible correspon- 
dant de h divise respectivement / et g. En particulier g s'annule en toute racine de /. 
L'équation analogue à (j3.36bp définit alors une courbe hyperelliptique ^* de genre g 
qui relève la courbe X* ; notons '3/^ la réunion du point à l'infini et du lieu défini par 
le polynôme h. C'est un sous-schéma étale de ^* dont la réduction modulo p a pour 
support l'ensemble des points de Weierstrass de ^* . Posons ^ = ^* \ ^ . Posons 
B = W[x,h{x)-^] ; l'anneau ^ de ^ est B[y\/{y'^ + fy-g). 

Dans les deux cas, l'anneau B^ peut être décrit explicitement, comme un anneau 
de séries en x et h{x)~^ dont les coefficients tendent assez vite vers 0. L'anneau 
est alors une i?^-algèbre étale, libre de rang 2, de base (l,y). Pour p = 2, ce sont les 
mêmes anneaux que ceux qu'on aurait obtenu en remplaçant '3^ par le sous-schéma 
des points de Weierstrass. 
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Pour relever le frobenius, nous commençons par choisir sur l'anneau W[x] l'unique 
relèvement a-linéaire tel que x <—> x^, autrement dit ^a„a;" ^ a{an)x^^^. Comme 
A est étale sur W^[cc], cet homomorphisme s'étend de manière unique en un homo- 
morphisme cr-linéaire, noté tp, de A'^ dans lui-même. Même si cela résulte d'une va- 
riante due à Bosch [TÏÏj, du théorème d'approximation d'ARTiN pour les anneaux de 
séries surconvergentes, nous devons calculer Lp explicitement, et en particulier déter- 
miner l'élément p}{y) de A'^ qui relève et tel que ipiy)"^ = f^ix^) lorsque p 2 et 
fiy)'^ + f'^{x^)v{y) ~ g'^{x^) sï p = 2. Supposons d'abord p ^ 2 ; il existe un élément 
h G W[x] tel que [x^) = [f{x)Y +ph{x), car a relève l'automorphisme de Frobenius 
de F. On pose alors 

La présence des coefficients p^ permet d'analyser très facilement la convergence de 
cette série. En particulier, l'élément <p(y) écrit appartient à A'^ et vérifie l'équation 
considérée. Dans le cas p = 2, le principe est similaire : comme on a pris soin de 
placer les points de Weierstrass sur l'axe y ~ 0, y est inversible dans A'' et on peut 
chercher ifiy) sous la forme j/^it, avec u = l (mod p) ; je renvoie à |38j . lemma 1, pour 
les détails. Signalons aussi qu'en pratique, ip{y) n'est pas calculé en développant des 
séries entières mais en appliquant la méthode de Newton. 

Comme Y est étale sur W, le théorème de comparaison entre cohomologies de De 
Rham algébrique et cohomologie rigide évoqué plus haut entraîne que H^j^^i^X / K) 



s'identifie au premier groupe de cohomologie de De Rham àe X ® Il en est de 

même de la partie —, ce qui montre que H^yif{X/ K)^ admet pour base les classes 
[x^y~^dx], pour ^ i ^ 2g — 1. Comme l'algorithme final n'utilisera qu'une précision 
finie, il est de toutes façons nécessaire de contrôler la valeur absolue des coefficients 
des différentielles exactes mises en jeu par une telle identification. L'« algorithme de 
réduction » permet d'écrire une forme différentielle fermée surconvergente à coeffi- 
cients entiers to comme somme de deux termes : d'une part une combinaison linéaire 
expHcite des formes différentielles qui constituent la base de iî^w(^/-^)' d'autre part 
une forme reste dont un multiple explicite est la différentielle d'une forme différentielle 
surconvergente à coefficients entiers. 

Supposons ces deux points acquis et soit i G {0, . . . , 2g — 1}. Pour calculer l'image 
par (p de la classe de la forme différentielle uji — x'^y^^dx, il reste à effectuer les calculs 
suivants : 



C'est là qu'intervient le choix de '3^ en caractéristique 2 : il ne fallait pas enlever tous les points de 
Weierstrass de la courbe hyperelliptique mais seulement un par point de Weierstrass de la fibre 
spéciale. 
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développer en série la forme différentielle 
ip(uj.,) = v?(a;)V(2/)~^d(/?(a;) = px- 



.pi+p—l 



(3.38) 



= px' 



,pi+p-lj(2.)-(p-l)/2) 




y 



à une précision p-adique suffisante ; 

- écrire le terme principal comme une somme de deux termes : le premier est une 
combinaison linéaire des formes différentielles ojk, pour ^ fc ^ 2g — 1, le second 
(qu'en fait on n'écrit pas) est une forme différentielle dont un multiple explicite est 
une forme exacte ; 

- de même, l'image du terme reste dans la cohomologie sera alors combinaison 
linéaire des classes uji avec des coefficients p-adiquement petits. 

Si la précision a été choisie assez grande, on en déduit une approximation de l'image 
de [uJi] par tp, donc une approximation de la matrice M de (p. La matrice de Fx = 
ip"^ est, quant à elle, donnée par M<t{M) . . .o'''~^(M). Pour finir, si la précision est 
suffisante, on peut calculer la trace de Fx (donc le cardinal de X{F)) et le déterminant 
de 1 — tFx (donc la fonction zêta de X) . 

3.3.4- Complexité et généralisations. — La complexité de l'algorithme que nous 
avons grossièrement décrit dépend de la précision requise pour effectuer les calculs ; 
je renvoie aux articles cités ainsi qu'à |54j pour l'analyse de cette complexité. Lorsque 
p ^ 2, il en ressort qu'elle est 0{pg'^(P) en temps et 0{pg^(fi) en espace. (Rappelons 
que q — p"^.) Lorsque p = 2, la complexité est un peu moins bonne en temps, à savoir 
0{g^d^). Tout récemment, des idées remontant aux Chudnovsky ont permis de faire 
baisser la dépendance en p de linéaire à y/p (voir 62J , ainsi que |18j ) . 

En pratique, l'algorithme de Kedlaya a permis de calculer le cardinal de courbes 
hyperelliptiques de genres ^ 4 en quelques minutes; le produit gd\og2P (approxima- 
tivement égal au logarithme en base 2 du cardinal de la jacobienne) étant de l'ordre 



Par ailleurs, il a donné lieu à un certain nombre de généralisations : courbes super- 
elliptiques (y™ — f{x), ^), courbes Ca.b (revêtements de totalement ramifiés à 
l'infini) dans [37], etc. Pour les courbes, l'algorithme le plus général semble celui de 
Castryck, Denef et Vercauteren dans [24j qui concerne les courbes planes qui 
sont non dégénérées par rapport à leur polytope de Newton ; si p est fixé, la complexité 
en temps de cet algorithme est 0{d'^g^'^), celle en espace est 0{d^g'^). 

Enfin, l'article [T] utilise cette méthode de calcul de la cohomologie p-adique pour 
évaluer le rang du nombre de Picard de surfaces projectives lisses, ces deux quantités 
étant reliées par une conjecture de Tate qui relie le rang du groupe de Néron-Severi 
d'une surface projective lisse S définie sur F à la multiplicité de la valeur propre q de 
l'endomorphisme Fs sur H^^^(X / K) . (Pour démontrer une majoration du nombre de 
Picard, la conjecture de Tate n'est bien siir pas nécessaire.) 



de 200 (p = 2, [Sg ; p = 251, [Ml). 
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3.4. Variation de la cohomologie p-adique 

La complexité en temps des méthodes p-adiques décrites jusqu'ici est toujours 
exponentielle en la dimension de l'espace ambiant. Le dernier algorithme de ce texte, 
introduit par Lauder [iMj en 2002, vise à supprimer ce défaut en tirant parti de la 
variation de la cohomologie p-adique dans une famille, longuement étudiée par DwORK 
dans les années 60. 

Plusieurs incarnations de cet algorithme sont actuellement disponibles : l'article 
original de Lauder [74], rédigé dans le cadre de la théorie de DwORK, concerne les 
familles d'hypersurfaces dont un membre est une hypersurface diagonale. Indépen- 
damment, N. TSUZUKI [111] avait proposé un algorithme qui calcule des sommes de 
Kloosterman et le nombre de points des revêtements d'Artin-Scheier de Gm. R. Gerk- 
MANN [56| dans le cas des courbes elliptiques, puis H. Hubrechts (voir [BU EHl |66] 
ainsi que l'esquisse |75j ) pour les courbes hyperelliptiques, ont utilisé cette méthode 
et proposé un algorithme calculant le cardinal d'une telle courbe, de genre g, dé- 
finie sur un corps fini de cardinal p'^, dont la complexité en espace est 0{p(Pg'^) ; 
cela améliore l'algorithme de Kedlaya par rapport au paramètre d. Plus récemment, 
Lauder [76] a appliqué cette méthode à un pinceau de Lefschetz dont la variété est 
l'espace total, obtenant ainsi un algorithme récursif pour calculer la fonction zêta 
d'une variété algébrique sur un corps fini. Ces derniers algorithmes sont rédigés en 
termes de cohomologie rigide ou Monsky-Washnitzer. 

Comme cette énumération le montre, la portée de cette méthode est très générale ; 
je me contente cependant d'en esquisser ici le principe dans le cas d'une famille de 
courbes. On reprend les notations F, q, p, W et K. 

3.4- 1- La déformation. — Le but de l'algorithme est de calculer la fonction zêta 
d'une courbe Xi, ou plus simplement le cardinal de Xt{F), lorsque Xt est la fibre 
en un point t d'une famille de courbes paramétrée par un ouvert U de A^. On peut 
imaginer par exemple une famille de courbes hyperelliptiques donnée par une équation 
hyperelliptique 

Xf.y^^Mx), 

où ft G F[x, t] est de degré 2g + 1 en x, F étant un corps fini de cardinal q. Dans ce 
cas, on notera U le plus grand ouvert de A^ au-dessus duquel ft est séparable et de 
degré 2g + 1; son complémentaire est le lieu défini par le discriminant D{t) de ft- Si 
l'on s'intéresse à des courbes affines, il est prudent de considérer une famille propre et 
lisse u: X* — > U, un diviseur Y étale sur U, puis de poser X = X* \ Y. Pour t £ U, 
Xf, Yt, Xt désignent les fibres de X* , Y, X au-dessus de t. 

L'algorithme de déformation repose sur le fait que lorsque t varie (en un certain 
sens), les matrices de Frobenius de Hl-^^{Xt/ K) vérifient une équation différentielle. 
L'idée de Lauder est de partir de la matrice en un point t = 0, supposée déjà calculée 
par une autre méthode, et de résoudre cette équation différentielle pour arriver au 
point t. 
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Il y a en cohomologie rigide une notion d'image directe et les X-espaces vecto- 
riels de cohomologie rigide H^^^{Xt, K), pour t E U, sont (en un certain sens que 
nous préciserons plus bas) les fibres d'un objet R^{u,-ig)^{X/P^) (cohomologie rigide 



relative) qui est, au moins conjecturalemeni|^, un i^-isocristal surconvergent sur U. 
Pour en donner une description concrète, on suppose toute la situation bien relevée en 
caractéristique en se donnant un ouvert de complémentaire d'un W schéma 
étale d'équation D{t) = 0, une famille propre et lisse u: X* — > et un diviseur 'W 
de étale sur . 

Notons S l'anneau D{t)~^\ et S"^ son complété faible ; soit a l'endomorphisme 
semi- linéaire de S qui applique t sur W . Identifions les éléments de S^^ à des séries 
formelles en t ; alors, si / G S'Jf , cr{f{t)) = /'^(t^), oii f"' est la série formelle obtenue 
en appliquant a aux coefficients de /. 

Alors, iî^(Miig)*(X/P^) est un 5]^-module E, libre de rang m = 2g — 1 + r (où g 
est le genre de et r le nombre de points géométriques de Yt, c'est la version en 
famille de (|3.34[) ). muni d'une connexion 

(3.39) V: E ^ E®s-t^li 

et d'un isomorphisme horizontal tp: a* E ~ E. En outre, pour tout i S F, de relève- 
ment de TeichmùUer t £ W considéré comme un homomorphisme d'anneaux Sj^ —> K, 
E®jK s'identifie à H^^^{Xt/ K) et (pi^^l s'identifie à l'endomorphisme de Frobenius 
de la cohomologie rigide (noter que a{t) — t^). La connexion V est bien sûr un avatar 
de la connexion de Gauss-Manin en cohomologie de De Rham (et devrait être la même 
lorsqu'on dispose d'un théorème de comparaison d'images directes entre cohomologie 
de De Rham et cohomologie rigide). 

Fixons une base (ei, . . . , em) de E et soit G{t)dt la matrice de V dans cette base ; 
on a donc, pour tout vecteur colonne X{t) à coefficients dans S\^, 

(3.40) V((ei, . . . , e^)X{t)) = (ei, . . . , e^){G{t)X{t) + dt. 
Soit aussi F{t) la matrice de ip dans les bases (e^ (8) 1) et (e.;) ; on a ainsi 

(3.41) (^((ei, . . . , e^)X{t) ® l) = (ei, . . . , e^){F{t)X^tP)) 
et l'horizontalité de ip se traduit par l'équation différentielle 

(3.42) F\t) + G{t)F{t) = F{t)G''{tP)ptP-\ 



Avec les hypothèses imprécises ci-dessus, c'est vraisemblable, mais je ne l'ai pas vérifié en détail ; 
dans le cas, présenté plus bas, des courbes hyperelliptiques, cela résulte de l'étude explicite faite 
par HUBRECHTS. 



ASTÉRISQUE 



(968) COMPTER (RAPIDEMENT). 



41 



3.4-2. Résolution et surconvergence. — Soit X{t) une matrice fondamentale de 
l'équation différentielle homogène 

(3.43) X'it) + G{t)X{t) ^0, X{0)^lm. 

Ses coefficients sont des séries formelles à coefficients dans K. La démonstration du 
théorème de Cauchy fait apparaître des dénominateurs ; par exemple, le rayon de 
convergence p-adique de la série exponentielle, solution àc y' ~ y n'est que p~^/^P~^\ 
Toutefois, une astuce due à DwORK reposant sur la formule (|3.44p ci-dessous montre 
que le rayon de convergence de X{t) est égal à 1, de sorte que X{t) converge dans le 
disque unité ouvert. 

Par horizontalité de ip, l'image de (ei, . . . , em)X{t) ® 1 par ip est annulée par V ; 
il existe donc une matrice constante C telle que l'on ait F{t)X'^ {f) = X{t)C, d'où 
F(0) = C et 

(3.44) F{t) = X{t)F{0)X''{tP)-^. 

Ayant calculé X{t), on peut tout autant calculer F(t), pourvu que la matrice -F'(O) 
ait été calculée auparavant, c'est-à-dire que l'on connaisse l'action du frobenius sur la 
cohomologie du membre Xq de notre famille. Ce n'est a priori qu'une série formelle à 
coefficients dans K, de même rayon de convergence que X{t). 

Mais F{t) est bien plus : c'est une matrice à coefficients dans 5]^. Ce fait général, qui 
traduit la « surconvergence » de l'isocristal R^{urig)^{X/F^) était déjà apparu dans 
cet exposé : la série 9 de l'équation (|3.4[) dont on avait mentionné la décroissance 
vers des coefficients est celle qui correspond à l'isocristal de Dwork sur la droite 
affine (voir par exemple [8], p. 28-29). 

Puisque le développement en série formelle en l'origine définit un homomorphisme 
injectif de S]^ dans ^'^[[i]], on peut exprimer de manière unique chaque entrée de la 
matrice F{t) comme une série de la forme 

oo 

(3.45) f{t)^ J2 ^"^W"' 

n— — oo 

oii les /„ sont des polynômes de degrés < deg D dont les coefficients tendent rapide- 
ment vers lorsque |n| oo. 

Supposons pour l'instant que l'on ait réussi à écrire les entrées de la matrice F(t) 
sous cette forme. Si i € F est un point de U, on peut alors évaluer F en le relèvement 
de Teichmiiller t de i, car \t\ = \D{t)\ = 1, d'oîi une matrice F{t) qui est celle du 
frobenius agissant sur la cohomologie rigide de la fibre Xf. 

Il reste à expliquer comment l'on peut calculer les /„. Dans le cas spécifique d'une 
famille de courbes hyperelliptiques, Hubrechts fait dans [68] toute l'analyse pré- 
cédente en grand détail, et de manière explicite ; il prouve de fait la surconvergence 
de l'isocristal -R^(Mrig)*(^/P^) en établissant une minoration explicite des valuations 
p-adiques des coefficients des polynômes /„. Il peut alors considérer l'équation (|3.45|) 
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comme un système d'équations linéaires à coefficients dans K. En chassant les déno- 
minateurs et en se limitant à une précision p-adique donnée, on obtient un système 
linéaire en dimension finie dont on peut calculer une solution ; la précision obtenue 
est inférieure à la précédente car le système n'est pas inversible modulo p. 

Ainsi, HuBRECHTS est en mesure de prévoir quelle précision initiale est nécessaire 
dans tout ce calcul pour, m fine, obtenir les entrées de la matrice F{t) à une précision 
suffisante pour que la congruence qui en résultera sur la fonction zêta permette de la 
déterminer. 

En pratique, plutôt que de calculer une solution fondamentale X{t) de (|3.43p . puis 
G{t) par la formule (|3.44[) . Hubrechts donne des algorithmes itératifs efficaces pour 
résoudre directement des équations différentielles du type (13.42p . 

Pour les courbes elliptiques, l'algorithme ainsi décrit est moins rapide que l'AGM, 
ce dernier étant cependant restreint en pratique au cas p — 2. Selon les données 
présentées à la fin de [68], l'algorithme est plus rapide que l'algorithme SEA lorsque 
le degré est au moins 100 si p = 3, et 40 si p = 7. Le dénombrement d'une courbe 
elliptique sur un corps de cardinal 3^°° nécessite un peu plus d'une heure de calcul et 
50 Mo d'espace disque. En genre 2, il permit de calculer le nombre de points d'une 
courbe sur un corps de cardinal 3**^" en une vingtaine d'heures et 120 Mo d'espace 
disque ; un tel calcul requerrait plusieurs Go avec l'algorithme de Kedlaya. 

RÉFÉRENCES 

[1] T. G. Abott, K. s. Kedlaya & D. Roe - « Bounding Picard numbers of surfaces 
using p-adic cohomology », in Arithmetic, Geometry, and Codmg Theory (AGCT-10), 2006, 
■arXiv:math. NT/0601508 

[2] L. M. Adleman & M.-D. Huang - Primality testing and abelian vaneties over finite 
fields, Lecture Notes in Mathematics, vol. 1512, Springer-Verlag, Berlin, 1992. 

[3] , « Counting points on curves and abelian varieties over finite fields », J. Symbolic 

Comput. 32 (2001), no. 3, p. 171-189. 

[4] A. O. L. Atkin - « The number of points of an elliptic curve modulo a prime », 1988. 

[5] , « The number of points of an elliptic curve modulo a prime, (II) », 1992. 

[6] E. Bach - « Explicit bounds for primality testing and related problems », Math. Comp. 
55 (1990), no. 191, p. 355-380. 

[7] F. Baldassarri & B. Chiarellotto - « Algebraic versus rigid cohomology with loga- 
rithmic coefficients », in Barsotti Symposium m Algebraic Geometry (Abano Terme, 1991), 
Perspect. Math., vol. 15, Académie Press, San Diego, CA, 1994, p. 11-50. 

[8] P. Berthelot - « Géométrie rigide et cohomologie des variétés algébriques de caractéris- 
tique p », Mém. Soc. Math. France (1986), no. 23, p. 7-32, Introductions aux cohomologies 
p-adiques (Luminy, 1984). 

[9] , « Cohomologie rigide et cohomologie rigide à supports propres. Première partie », 

Prépublication, IRMAR, Université Rennes 1, 1996. 



astérisque 



(968) COMPTER (RAPIDEMENT). 



43 



[10] , « Dualité de Poincaré et formule de Kûnneth en cohomologie rigide », C. R. 

Acad. Sci. Pans Sér. I Math. 325 (1997), no. 5, p. 493-498. 

[11] , « Finitude et pureté cohomologique en cohomologie rigide », Invent. Math. 128 

(1997), no. 2, p. 329-377, avec un appendice en anglais par A. J. de Jong. 

[12] I. F. Blake, g. Seroussi & N. P. Smart - Elliptic curves in cryptography, London 
Mathematical Society Lecture Note Séries, vol. 265, Cambridge University Press, Cam- 
bridge, 2000, Reprint of the 1999 original. 

[13] (éds.) - Advances in elliptic curve cryptography, London Mathematical Society 

Lecture Note Séries, vol. 317, Cambridge University Press, Cambridge, 2005. 

[14] E. BOMBIERI - « On exponential sums in finite fields. II », Invent. Math. 47 (1978), 
no. 1, p. 29-39. 

[15] S. Bosch - « A rigid analytic version of M. Artin's theorem on analytic équations », 

Math. Ann. 255 (1981), no. 3, p. 395-404. 
[16] W. BOSMA, J. Cannon & C. Playoust - « The Magma algebra System. I. The user 

language », J. Symbolic Comput. 24 (1997), no. 3-4, p. 235-265, Computational algebra 

and number theory (London, 1993). 
[17] J.-B. BOST & J.-F. Mestre - « Moyenne arithmético-géométrique et périodes des 

courbes de genre 1 et 2 », Gaz. Math. (1988), no. 38, p. 36-64. 
[18] A. BOSTAN, P. Gaudry & E. SCHOST - « Linear récurrences with polynomial coeffi- 
cients and application to integer factorization and Cartier-Manin operator », SIAM Journal 

on Computing 36 (2007), no. 6, p. 1777-1806. 
[19] C. Breuil, B. Conrad, F. Diamond & R. Taylor - « On the modularity of elliptic 

curves over Q : wild 3-adic exercises », Amer. J. Math. 14 (2001), no. 4, p. 843-939. 
[20] D. G. Cantor - « On the analogue of the division polynomials for hyperelliptic curves », 

J. reine angew. Math. 447 (1994), p. 91-145. 
[21] R. Carls - « A generalized arithmetico-geometric mean », Thèse, Rijksuniversiteit Gro- 

ningen, 2004. 

[22] , « Canonical coordinates on the canonical lift », The Ramanujan Journal 22 

(2007), no. 1, p. 1-14, arXiv: math/0508007 
[23] R. Carls & D. Lubicz - « A p-adic quasi-quadratic point counting algorithm », 2007, 

arXiv : math/0706 . 0234 
[24] W. Castryck, j. Denef & F. Vercauteren - « Computing Zeta Functions of Non- 

degenerate Curves », 2006, |arXiv : math . HT/06073081 
[25] B. Chiarellotto - « Weights in rigid cohomology applications to unipotent F- 

isocrystals », Ann. Sci. École Norm. Sup. 31 (1998), no. 5, p. 683-715. 
[26] B. Chiarellotto & B. Le Stum - « A comparison theorem for weights », J. reine 

angew. Math. 546 (2002), p. 159-176. 
[27] H. Cohen - A course in computational algebraic number theory, Graduate Texts in 

Mathematics, vol. 138, Springer-Verlag, Berlin, 1993. 

[28] H. Cohen, G. Frey, R. Avanzi, C. Doche, T. Lange, K. Nguyen & F. Vercaute- 
ren (éds.) - Handbook of elliptic and hyperelliptic curve cryptography, Discrète Mathematics 
and its Applications (Boca Raton), Chapman & Hall/CRC, Boca Raton, FL, 2006. 

[29] P. Cohen - « On the coefficients of the transformation polynomials for the elliptic 
modular function », Math. Proc. Cambridge Philos. Soc. 95 (1984), p. 389-402. 



SOCIÉTÉ MATHÉMATIQUE DE FRANCE 2008 



44 



COMPTER (RAPIDEMENT). 



[30] J.-M. COUVEIGNES - « Computing f-isogenies using the p-torsion », in Algorithmic 
number theory (Talence, 1996), Lecture Notes in Comput. Sci., vol. 1122, Springer, Berlin, 
1996, p. 59-65. 

[31] P. Deligne - Équations différentielles à points singuliers réguliers, Springer- Verlag, 

Berlin, 1970, Lecture Notes in Mathematics, Vol. 163. 
[32] , « Formes modulaires et représentations ^-adiques », in Séminaire Bourbaki 

1968/69, Lecture Notes in Math., no. 179, 1971, Exp. 355, p. 139-172. 
[33] , « Théorie de Hodge II », Publ. Math. Inst. Hautes Études Sci. 40 (1972), p. 5- 

57. 

[34] , « La conjecture de Weil, I », Publ. Math. Inst. Hautes Études Sci. 43 (1974), 

p. 273-307. 

[35] , Cohomologie étale (Séminaire de géométrie algébrique du Bois-Marie — SGA 

4ij, Lecture Notes in Mathematics, vol. 569, Springer- Verlag, Berlin, 1977, Avec la colla- 
boration de J.-F. Boutot, A. Grothendieck, L. lUusie et J.-L. Verdier. 

[36] , « La conjecture de Weil, II », Publ. Math. Inst. Hautes Études Sci. 52 (1980), 

p. 137-252. 

[37] J. Denef & F. Vercauteren - « Counting points on Cat curves using Monsky- 

Washnitzer cohomology », Finite Fields Appl. 12 (2006), no. 1, p. 78-102. 
[38] , « An extension of Kedlaya's algorithm to hyperelliptic curves in characteristic 

2 », J. Cryptology 19 (2006), no. 1, p. 1-25. 
[39] M. Deuring - « Die Typen der Multiplikatorringe elliptischer Funktionenkôrper », Abh. 

Math. Sem. Hannsischen Umv. 14 (1941), p. 197-272. 
[40] W. DiFFlE & M. Hellman - « New directions in cryptography », IEEE Trans. Inform. 

Theory 22 (1976), p. 644-654. 
[41] B. DwORK & A. Ogus - « Canonical liftings of Jacobians », Compositio Math. 58 

(1986), no. 1, p. 111-131. 
[42] B. DwORK - « On the rationality of the zeta function of an algebraic variety », Amer. 

J. Math. 82 (1960), p. 631-648. 
[43] B. Edixhoven - « Point counting after Kedlaya », EIDMA- 

Stieltjes Graduate course, Leiden, September 22-26, 2003, 

Ihttp : //www . math . leidenuniv . nl/~edix/ oww/mathof crypt/ carls_edixhoven/kedlaya . pdf 

2003. 

[44] B. Edixhoven, J.-M. Couveignes, R. de Jong, F. Merkl & J. Bosman 
- « On the computation of coefficients of a modular form », Tech, report, 2006, 
larXiv :math . NT/06052441 

[45] N. Elkies - « Explicit isogenies », 1991. 

[46] R. Elkik - « Solutions d'équations à coefficients dans un anneau hensélien », Ann. Sci. 

École Norm. Sup. 6 (1973), p. 553-603 (1974). 
[47] A. Enge - « Computing modular polynomials in quasi-linear time », Prépublication, 

http: //www. lix. polytechnique .f r/Labo/Andreas . Enge/vorabdrucke/modcomp .pdf , 

2006. ' " 

[48] A. Enge, P. Gaudry & F. Morain - « A new record for SEA », 

http: //www . lix .polytechnique .f r/ "morain/ SEA/d2100x. annonce , 2006. 
[49] M. FouQUET, P. Gaudry & R. Harley - « An extension of Satoh's algorithm and its 

implementation », J. Ramanujan Math. Soc. 15 (2000), no. 4, p. 281-318. 



ASTÉRISQUE 



(968) COMPTER (RAPIDEMENT). 



45 



[50] J. Fresnel & M. VAN DER PuT - Rigid analytic geometry and its applications, Progress 
in Mathematics, vol. 218, Birkhâuser Boston Inc., Boston, MA, 2004. 

[51] G. Frey & H. -G. RÛCK - « A remark concerning m-divisibility and the discrète lo- 
garithm problem in the diviser class group of curves », Math. Comp. 62 (1994), no. 206, 
p. 865-874. 

[52] S. Galbraith & A. Menezes - « Algebraic curves and cryptography », Finite Fields 
Appl. 11 (2005), p. 544-577. 

[53] P. Gaudry & N. Gurel - « An extension of Kedlaya's point-counting algorithm to 
superelliptic curves », in Advances in cryptology — ASIACRYPT 2001 (Gold Coast), Lecture 
Notes in Comput. Sci., vol. 2248, Springer, Berlin, 2001, p. 480-494. 

[54] , « Counting points in médium characteristic using Kedlaya's algorithm », Expe- 

nment. Math. 12 (2003), no. 4, p. 395-402. 

[55] P. Gaudry & R. Harley - « Counting points on hyperelliptic curves over finite fields », 
in Algorithmic number theory (Leiden, 2000), Lecture Notes in Comput. Sci., vol. 1838, 
Springer, Berhn, 2000, p. 313-332. 

[56] R. Gerkmann - « Relative rigid cohomology and point counting in familles of elliptic 
curves », 2005, |http://j oguinf . inf ormatik .uni-mainz . de/~gerkmann/legendre .pdf 

[57] S. Goldwasser & J. Kilian - « Primality testing using elhptic curves », J. ACM 46 
(1999), no. 4, p. 450-472. 

[58] A. Grothendieck - « On the de Rham cohomology of algebraic varieties », Inst. Hautes 
Études Sci. Publ. Math. (1966), no. 29, p. 95-103. 

[59] , Cohomologie l-adique et fonctions L, Lecture Notes in Math., no. 589, Springer- 

Vcrlag, 1972-73, SGA 5. 

[60] , « Formule de Lefschetz et rationalité des fonctions L », in Séminaire Bourbaki, 

Vol. 9, Soc. Math. France, Paris, 1995, Exp. No. 279, Année 1964-1965, p. 41-55. 

[61] R. Harley - « Asymptotically optimal p-adic point-counting », e-mail à la liste 
NMBRTHRY, décembre 2002. 

[62] D. Harvey - « Kedlaya's Algorithm in Larger Characteristic », Internat. Math. Res. 
Notices (2006), à paraître, arXiv: math. NT/0610973 

[63] H. Hasse - « Beweis des Analogons der Riemannschen Vermutung fiir die Ar- 
tinschen und F. K. Schmidtschen Kongruenzzetafunktionen in gewissen elliptischen 
Fâllen. Vorlâufige Mitteilung », Nachrichten von der Gesellschaft der Wissenschaf- 
ten zu Gottingen, Mathematisch-Physikalische Klasse 42 (1933), no. 3, p. 253-262, 
|http : //gdzdoc . sub.uni-goettingen. de/sub/digbib/loade r?did=D64289 

[64] , « Zur Théorie der abstrakten elliptischen Funktionenkôr- 

per III. Die Struktur des Meromorphismenrings. Die Riemannsche Ver- 
mutung. », J. reine angew. Math. 175 (1936), no. 4, p. 193-208, 
'http : //gdzdoc . sub .uiii-goettingen.de/sub/digbib/loader?did=D255900' 

[65] W. V. D. HODGE &; M. F. Atiyah - « Intégrais of the second kind on an algebraic 
variety», Ann. of Math. 62 (1955), p. 56-91. 

[66] H. Hubrechts - « Memory efficient hyperelliptic curve point counting », 2006, 
|arXiY:mat h . NT/0609032 

[67] , « Point counting in familles of hyperelliptic curves », 2006, 

larXiv : math . HT/0601438 > 



SOCIÉTÉ MATHÉMATIQUE DE FRANCE 2008 



46 



COMPTER (RAPIDEMENT). 



[68] , « Point counting in families of hyperelliptic curves in characteristic 2 », 2006, 

larXiv : math . NT/0607346 | 

[69] N. M. Katz & W. Messing - « Some conséquences of the Riemann hypothesis for 
varieties over finite fields », Invent. Math. 23 (1974), p. 73-77. 

[70] K. S. Kedlaya - « Counting points on hyperelliptic curves using Monsky-Washnitzer 
cohomology », J. Ramanujan Math. Soc. 16 (2001), no. 4, p. 323-338, Erratum : J. Rama- 
nujan Math. Soc. 18 (2003), no. 4, 417-418. 

[71] , « Finiteness of rigid cohomology with coefficients », Duke Math. J. 134 (2006), 

no. 1, p. 15-97. 

[72] N. KOBLITZ & A. J. Menezes - « A survey of public- key cryptosystems », SIAM Rev. 

46 (2004), no. 4, p. 599-634 (electronic). 
[73] D. R. KOHEL - « The AGM-Xo(N) Heegner point lifting algorithm and elliptic curve 

point counting », in Advances in cryptology — ASIACRYPT 2003, Lecture Notes in Comput. 

Sci., vol. 2894, Springer, Berhn, 2003, p. 124-136. 
[74] A. G. B. Lauder - « Déformation theory and the computation of zeta functions », 

Proc. London Math. Soc. 88 (2004), no. 3, p. 565-602. 
[75] , « Rigid cohomology and p-adic point counting », J. Théor. Nombres Bordeaux 

17 (2005), p. 169-180. 

[76] , « A recursive method for Computing zeta functions of varieties », LMS J. Comp. 

Math. 9 (2006), p. 222-267, i http : //www . 1ms . ac . uk/ j cm/9/lms2006- 005 1 

[77] A. G. B. Lauder & D. Wan - « Counting points on varieties over finite fields of 
small characteristic », in Algorithmic Number Theory : Lattices, Number Fields, Curves and 
Cryptography (J. Buhler & P. Stevenhagen, éds.), Mathematical Sciences Research Institute 
Publications, Cambridge University Press, 2007, A paraître, http : //www . maths . ox . ac. uk7^ 

[78] B. Le Stum - A course on ngid cohomology, Cambridge Tracts in Mathematics, Cam- 
bridge Univ. Press, 2007, à paraître. 

[79] R. Lercier & F. Morain - « Computing isogenies between elliptic curves over Fpn 
using Couveignes's algorithm», Math. Comp. 69 (2000), no. 229, p. 351-370. 

[80] R. Lercier - « Computing isogenies in F2" », in Algorithmic number theory (Talence, 
1996), Lecture Notes in Comput. Sci., vol. 1122, Springer, Berlin, 1996, p. 197-212. 

[81] R. Lercier & D. Lubicz - « Counting points in elliptic curves over finite fields of small 
characteristic in quasi quadratic time », in Advances in cryptology — EUROCRYPT 2003, 
Lecture Notes in Comput. Sci., vol. 2656, Springer, Berlin, 2003, p. 360-373. 

[82] , « A Quasi Quadratic Time Algorithm for Hyperelliptic Curve 

Point Counting », The Ramanujan Journal 12 (2006), no. 3, p. 399-423, 
'http: /7medicis .polytechnique .fr/~lercier/file/LL05 .pdf 

[83] J. LuBiN, J.-P. Serre & J. Tate - « Elliptic curves and formai groups », 
1964, Lecture notes prepared in connection with the seminars held at the Sum- 
mer institute on Algebraic Geometry, Whitney State, Woods Hole, Massachusetts, 

^ttp: //ma.utexas . edu/users/voloch/lst .html 

[84] U. M. Maurer & S. WOLF - « The relationship between breaking the Diffie-Iïellman 
protocol and Computing discrète logarithms », SIAM J. Comput. 28 (1999), no. 5, p. 1689- 
1721 (electronic). 

[85] Z. Mebkhout - « Sur le théorème de finitude de la cohomologie p-adique d'une variété 
affine non singulière », Amer. J. Math. 119 (1997), no. 5, p. 1027-1081. 



ASTÉRISQUE 



(968) COMPTER (RAPIDEMENT). 



47 



[86] W. Messing - The crystals associated to Barsotti-Tate groups : with applications to 
abelian schemes, Lecture Notes in Math., no. 345, Springer-Verlag, 1976. 

[87] J.-F. Mestre - « Utilisation de l'AGM pour le calcul de i5(F2") », Lettre à Harley et 
Gaudry, décembre 2000, http://www.math.jussieu.fr/~mestre 

[88] , « Algorithmes pour compter des points de courbes en pe- 
tite caractéristique et en petit genre », rédigé par David Lubicz, 
Ihttp : //www . mat h . jussieu . f r/~mestre/reniiescrypto . ps , 2002. 

[89] P. MoNSKY & G. Washnitzer - « Formai cohomology I », Ann. of Math. 88 (1968), 
p. 181-217. 

[90] F. MORAIN - « Calcul du nombre de points sur une courbe elliptique dans un corps 
fini : aspects algorithmiques », J. Théor. Nombres Bordeaux 7 (1995), no. 1, p. 255-282, 
Les Dix-huitièmes Journées Arithmétiques (Bordeaux, 1993). 

[91] , « La primalité en temps polynomial (d'après Adleman, Huang ; Agrawal, Kayal, 

Saxena) », Astérisque (2004), no. 294, p. viii, 205-230. 

[92] D. MuMFORD - Tata lectures on Thêta II, Birkhauser, 1984. 

[93] A. MuzEREAU, N. P. Smart & F. Vercauteren - « The équivalence between the 

DHP and DLP for elliptic curves used in practical applications », LMS J. Comput. Math. 

7 (2004), p. 50-72 (electronic). 
[94] V. MÛLLER - « Fin Algorithmus zur Bestimmung der Punktanzahl elliptischer Kurven 

iiber endlichen Kôrpern der Charakteristik grôfier drei », Thèse, University of Saarland, 

Saarbriicken, 1995. 

[95] A. NiTAJ - «L'algorithme de Cornacchia », Exposition. Math. 13 (1995), no. 4, p. 358- 
365. 

[96] The PARI Group - Bordeaux, PARI/GP, version 2.3.1, 2006, 
http: //pari .math.u-bordeaux . f r/ 

[97] J. Pila - « Frobenius maps of abelian varieties and finding roots of unity in finite 

fields », Math. Comp. 55 (1990), no. 192, p. 745-763. 

[98] , « Counting points on curves over familles in polynomial time », 1991. 

[99] S. C. POHLIG & M. E. Hellman - « An improved algorithm for Computing logarithms 

over GF(p) and its cryptographie signiflcance », IEEE Trans. Information Theory IT-24 

(1978), no. 1, p. 106-110. 
[100] J. M. POLLARD - « Monte Carlo methods for index computation (mod p) », Math. 

Comp. 32 (1978), no. 143, p. 918-924. 
[101] M. VAN DER Put - « The cohomology of Monsky and Washnitzer », Mém. Soc. Math. 

France (N.S.) (1986), no. 23, p. 4, 33-59, Introductions aux cohomologies p-adiques (Lu- 

miny, 1984). 

[102] C. RiTZENTHALER - « Point counting on genus 3 non hyperelliptic curves », in Algo- 
rithmic number theory, Lecture Notes in Comput. Sci., vol. 3076, Springer, Berlin, 2004, 
p. 379-394. 

[103] T. Satoh - « The canonical lift of an ordinary elliptic curve over a finite field and its 
point counting», J. Ramanujan Math. Soc. 15 (2000), no. 4, p. 247-270. 

[104] T. Satoh, B. Skjernaa & Y. Taguchi - « Fast computation of canonical hfts of 
elliptic curves and its application to point counting », Finite Fields Appl. 9 (2003), no. 1, 
p. 89-101. 



SOCIÉTÉ MATHÉMATIQUE DE FRANCE 2008 



48 



COMPTER (RAPIDEMENT). 



[105] R. SCHOOF - « EUiptic curves over finite fields and the computation of square roots 

mod p », Math. Comp. 44 (1985), no. 170, p. 483-494. 
[106] , « Counting points on elliptic curves over finite fields», J. Théor. Nombres 

Bordeaux 7 (1995), no. 1, p. 219-254, Les Dix-liuitièmes Journées Aritlimétiques (Bordeaux, 

1993). 

[107] D. Shanks - « Class number, a theory of factorization, and gênera », in 1969 Number 
Theory Institute (Proc. Sympos. Pure Math., Vol. XX, State Univ. New York, Stony Brook, 
N.Y., 1969), Amer. Matfi. Soc, Providence, R.I., 1971, p. 415-440. 

[108] A. Shiho - « Crystalline fundamental groups. II. Log convergent coiiomology and rigid 
cohomology », J. Math. Sci. Umv. Tokyo 9 (2002), no. 1, p. 1-163. 

[109] V. Shoup - « Lower bounds for discrète logaritlims and related problems », in Advances 
in cryptology — EUROCRYPT '97, Lecture Notes in Comput. Sci., vol. 1233, Springer, Ber- 
lin, 1997, p. 256-266. 

[110] B. Skjernaa - « Satoh's algorithm in characteristic 2 », Math. Comp. 72 (2003), 

no. 241, p. 477-487 (electronic). 
[111] N. TSUZUKI - « Bessel F-isocrystals and an algorithm for Computing Kloosterman 

sums », 2003. 

[112] F. Vercauteren - « The SEA algorithm in characteristic 2 », 
http: //homes . esat .kuleuven.be/~fvercaut/papers/SEA.pdf . gz , 2000. 

[113] , « Computing zeta functions of hyperelliptic curves over finite fields of charac- 
teristic 2 », in Advances in cryptology — CRYPTO 2002, Lecture Notes in Comput. Sci., vol. 
2442, Springer, Berlin, 2002, p. 369-384. 

[114] F. Vercauteren, B. Preneel & J. Vandewalle - « A memory efficient version of 
Satoh's algorithm », in Advances in cryptology — EUROCRYPT 2001 (Innsbruck), Lecture 
Notes in Comput. Sci., vol. 2045, Springer, Berhn, 2001, p. 1-13. 

[115] J. VÉLU - « Isogénies entre courbes elliptiques », C. R. Acad. Sci. Pans Sér. I Math. 
273 (1971), p. 238-241. 

[116] D. Wan - « Algorithmic theory of zeta functions over finite fields », in Algorithmic 
Number Theory : Lattices, Number Fields, Curves and Cryptography (J. Buhler & P. Steven- 
hagen, éds.), Mathematical Sciences Research Institute Publications, Cambridge University 
Press, 2007, A paraître, http://www.maths.ox.ac.uk/ 

[117] W. C. Waterhouse - « Abelian varieties over finite fields », Ann. Sci. École Norm. 

Sup. 2 (1969), p. 521-560, http: //www. numdam.org/item?id=ASENS_1969_4_2_4_521_0 
[118] A. Weil - Variétés abéliennes et courbes algébriques, Actualités Sci. Ind., no. 1064, 

Hermann & Cie., Paris, 1948. 



Antoine CHAMBERT-LOIR 

Université de Rennes 1 
Irmar (UMR 6625 du CNRS) 
Campus de Beaulieu 
35042 Rennes Cedex 

E-mail : antoine.chcimbert-loir@univ-rennesl.fr 



ASTÉRISQUE 



